Pozdrav admine! Pitanje, kako očistiti registar od nakupljenog smeća: preostalih ključeva, parametara, vrijednosti daljinski programi, ali želim to učiniti kako treba, jer postoji tužno iskustvo.
Nedavno sam instalirao jedan program na svoje računalo i iznenadio se kad sam otkrio da je uz njega instaliran još jedan, nekakav čistač. operacijski sustav i registar. Najzanimljivije je da se ovaj program počeo izvoditi zajedno sa sustavom Windows, stalno nudeći čišćenje računala razno smeće. Zanimljivosti radi, odlučio sam pokušati i kliknuo OK, započeo je proces čišćenja registra od nepotrebnih unosa, nakon jedne minute provjera je završila i program je izdao izvješće, pronađene su 1024 pogreške koje je uslužni program predložio popraviti, složio sam se i ponovo kliknuo OK, pogreške u registru su izbrisane, a računalo se ponovno pokrenulo i više se nije učitavalo!
Na sljedeće dizanje na crnom ekranu bila je greška Windows\system32\config\system... i još nešto. Uz velike poteškoće, operativni sustav je vraćen prema vašem članku.
Također sam pronašao zanimljiv članak na vašoj stranici, gdje čistite registar od ključeva koje je ostavio virus bez pribjegavanja bilo kakvim programima. Zato sam odlučio da vam pišem, pitam kako očistiti registar od smeća, i doista, je li to potrebno, jer mnogi korisnici uopće ne čiste registar i ne razmišljaju o tome.
Kako očistiti registar
1) Što je registar!
2) Je li potrebno očistiti registar.
3) Jeste li znali da ako zlonamjerni softver ostavi svoje ključeve u registru, nijedan čistač registra ih neće pronaći. Kako pronaći nepotrebne ključeve u registru s ručkama bez pribjegavanja bilo kakvim programima.
3) Kako očistiti registar s EnhanceMySe7en
4) Kako očistiti registar pomoću CCleanera
Pozdrav prijatelji! Dobro postavljeno pitanje i da bih odgovorio na njega, reći ću vam ukratko što je registar i kako ga koristi Windows.
Registar je najvažniji Windows komponenta, pojavio se u drevnim Windowsima 3.1 kao datoteka Req.dat.
Registar sadrži ogromna baza podataka ili pohranjivanje informacija o konfiguraciji svih programa instaliranih u operacijskom sustavu i samim Windowsima. Podaci o svim korisnicima, ekstenzijama datoteka, upravljačkim programima, povezanim uređajima, aktivacijama i tako dalje pohranjeni su u registru.
Bilo koja aplikacija, kada se instalira u operativni sustav, ostavlja svoje konfiguracijske podatke u registru, a također, nijedna aplikacija ne briše sve podatke iz registra kada se deinstalira (ukloni) s računala. Ovo je dobro poznata činjenica.
Na primjer, izbrisat ću s računala Adobe program Photoshop, a zatim ću provjeriti ključeve ovog programa u registru i tamo će se naći,
Isto će se dogoditi i sa Preuzmite program ovladati; majstorski.
A ako uklonite iz sustava Windows više ozbiljan program, na primjer, onda obratite pozornost na to koliko će ostaviti iza sebe u registru smeća. A ako zamislimo da operativni sustav koristimo godinu dana!
Postaje jasno da svo to smeće koje programi ostave nakon brisanja s računala ostaje dosta u registru, ali evo još jednog pitanja, prijatelji moji - Ometa li sve to smeće brzinu operativnog sustava? Što koči, nitko nije uspio dokazati. Nije li to dokaz da on Windows programer dobro poznati Microsoft nikada nije stvorio poseban alat za svoje potomstvo, čime bi se registar automatski očistio. da, također je prisutan, ali registar možete očistiti samo olovkama pomoću posebnog uređivača regedit ugrađenog u Windows.
U kojim slučajevima sam čistim registar
Prijatelji, svojedobno sam eksperimentirao ad nauseam s raznim čistačima registra, ali nikad nisam došao do uvjerljivog rezultata. vjerujem da ne velika potreba u stalnom automatsko čišćenje registra, budući da nema automatsko čišćenje dobro koliko misliš. Ako ste deinstalirali program i on je ostavio svoje ključeve u registru, onda Windows nikada neće pristupiti tim ključevima i zbog tih ključeva ni na koji način neće doći do pada performansi sustava i neće se pojaviti greške. Smeće u registru može biti nekoliko desetaka kilobajta nepotrebne dijelove i nemaju opipljiv utjecaj na brzinu sustava
Ali ipak morate znati kako izbrisati nepotrebne unose u registru, a evo i zašto.
Dopustite mi da vam dam pravi slučaj kao primjer. Moj prijatelj je pokupio maliciozni program koji se pokrenuo izvršna datoteka iz mape C:\Windows\AppPatch\hsgpxjt.exe. Uspješno smo uklonili virus, ali su unosi koje je malware stvorio u registru ostali jer se takav prozor pojavio prilikom pokretanja sustava.
Nijedan od postojećih automatskih čistača registra tada mi nije pomogao, jednostavno nisu pronašli zlonamjerne unose.
Morao sam ručno pronaći zlonamjerne ključeve u registru koji se nalaze u košnicama registra
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Dodani ključevi
Učitaj REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
Pokrenite REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ključ dodan
userinit REG_SZ C:\Windows\apppatch\hsgpxjt.exe
Pisao sam o ovom slučaju. detaljan članak"" možeš čitati. Iz ovog članka možete naučiti kako pronaći nepotrebne ključeve u registru pomoću ugrađenog Windows Editor regedit.
Pa, što poželjeti korisnicima koji žele imati pri ruci automatski alat za čišćenje registra.
Kako očistiti registar s EnhanceMySe7en
Prije korištenja programa za čišćenje registra, savjetujem vam da napravite točku vraćanja sustava (prije nego što padnemo, položite slamku)
Jedno vrijeme sam koristio program EnhanceMySe7en, ovo je vrlo dobar tweaker za Windows 7, uključuje dva tuceta priručni alati Za Windows kontrole 7. EnhanceMySe7en također sadrži upravitelj pokretanja, defragmentator tvrdog diska pogon, alat za nadzor tvrdog diska i upravitelj procesa (neki alati dostupni su samo u plaćena verzija). Ovaj cool program je nažalost uključen Engleski jezik, ali sve ćeš shvatiti i tako.
Službena stranica programa http://seriousbit.com/tweak_windows_7/
Pritisnite Download v3.7.1, 12.6 MB i preuzmite besplatna verzija,
Ne sadrži neke alate, poput defragmentatora tvrdi disk.
Da biste započeli s čišćenjem registra, morate otići na karticu Alati i kliknuti samo jedan gumb Čistač registra.
Zatim možete pogledati pojedinosti ili odmah kliknuti na gumb Izbriši Izbriši pogreške.
To je to, registar je izbrisan.
Kako očistiti registar pomoću CCleanera
Još više jednostavan program CCleaner, koji koristi velika većina korisnika. Instalira se doslovno za svakoga kome treba i ne treba. Ponekad mi se čini da je uključen u set standarda Windows programi. Koje mi računalo donesu na popravak, tamo je već instalirano.
Program se može preuzeti s njegove službene web stranice.
http://ccleaner.org.ua/download/
može prenosiv verzija CCleanera koji radi bez instalacije i nosite ga sa sobom na USB flash disku. Postoji čak i verzija za Mac.
Preuzeto, pokrenite program kao administrator.
Prije svega, idite na Postavke i odaberite ruski jezik.
Kartica registra. Pritisnite gumb Traži probleme.
Prvi put program će pronaći puno grešaka.
Pritisnite Popravi.
I odaberite mjesto za spremanje sigurnosne kopije.
Zatim možete pregledati sve pogreške registra ili jednostavno kliknuti gumb Popravi označeno.
Ovaj sigurnosna kopija trebat će vam ako nešto pođe po zlu nakon čišćenja registra. Što može poći po zlu? Na primjer, neki već aktiviran program ponovno će tražiti aktivaciju, ali ne brinite, to se događa vrlo rijetko. U tom slučaju pritisnite dvostruki klik desni miš na sigurnosna kopija datoteke registar
Odgovor Da
Virus i registar!
Nekako, prije otprilike tri ili četiri godine, Evgeny Kaspersky napravio je takvu prognozu, budući da je aktivnost računalnog kriminalnog svijeta u porastu, onda će u bliskoj budućnosti biti jednako opasno surfati internetom kao što je opasno šetati mračnim ulicama na noć. Polako ali sigurno to vrijeme dolazi.
Virusima se nazivaju posebni zloćudni programi. Jednom na računalu, u većini slučajeva, virus se registrira u registru i proizvodi sljedeće radnje: uzrokuje gašenje računala, ponovno pokretanje; usporava operativni sustav; kvari datoteke šalje mailing putem interneta, što dovodi do potrošnje prometa; i još mnogo više, jer savršenstvu nema granica.
* Pokrenite HijackThis. Kliknite gumb "Skeniraj sustav i spremi datoteku dnevnika". Obavezno pokrenite te programe s administratorskim pravima.
Nema manjka programa za optimizaciju i obradu registra, možete birati različite, testirati, čistiti, defragmentirati. Mnogi uslužni programi imaju nekoliko funkcija koje pomažu registru. Mnoge komunalne usluge imaju vrlo dobro sučelje i postoje postavke, možete početi prema vremenu, kada se računalo digne. Ovdje su vremenski testirani uslužni programi: Registar AusLogics defragmentirati, AusLogics BoostSpeed, Register_DivX, Reg docins, Trash Reg, OneButton Checkup.
Kada radite s registrom, morate biti vrlo oprezni i raditi samo ono što je jasno, ali bolje je pozvati stručnjaka. On će instalirati i pokazati kako nadzirati registar.
Do sada ne znam nikoga tko nije bio izravno ili neizravno pogođen djelovanjem računalnih virusa. Antivirusne tvrtke žele mnogo za svoje proizvode koji nikada ne pružaju odgovarajuću zaštitu. Pitanje je zašto onda uopće kupovati antivirusni softver? Sve što je stvorio čovjek može biti uništeno, to se odnosi i na antiviruse i na viruse. Puno je teže prevariti osobu nego program. Stoga je ovaj članak posvećen opisu metode detekcije i deaktivacije virusa softver bez antivirusni proizvod. Upamtite da postoji samo jedna stvar čija se vrijednost ne može zaobići/slomiti/prevariti - to je Znanje, vaše vlastito razumijevanje procesa. Danas ću reći pravi primjeri kako otkriti i uhvatiti internetske crve i špijunski softver na vašem računalu. Naravno, postoji mnogo više vrsta, ali uzeo sam najčešće i odlučio napisati ono što sam imao u praksi, kako ne bih rekao ništa suvišno. Ako budete imali sreće u potrazi, pričat ću vam o makro virusima, backdoorima i rootkitovima. Dakle, prije nego što nastavim, napominjem da u ovom članku razmatram samo operativni sustav NT obitelji spojen na Internet. I sam imam Win2000 SP4, hvatam viruse na WinXP PE. Pa prijeđimo na brzu, a zatim detaljnu analizu sustava za crve i špijune. Površnim pregledom jednostavno detektiramo prisutnost programa i lokaliziramo ga, već je u tijeku detaljna analiza na razini datoteka i procesa. Tamo ću govoriti o izvrsnom programu PETools, međutim, sve ima svoje vrijeme.
[Analiza sustava]
Logično je da je za detekciju i neutralizaciju zlonamjernog programa nužno postojanje takvog programa. Prevencija ostaje prevencija, o tome ćemo kasnije, ali prvo treba utvrditi postoje li uopće virusi na računalu. Za svaku vrstu malware shodno tome, postoje simptomi koji su ponekad vidljivi golim okom, ponekad uopće nevidljivi. Pogledajmo koji su simptomi infekcije. Budući da govorimo o računalu spojenom na globalna mreža, tada je prvi simptom pretjeran brza potrošnja, u pravilu, odlazni promet, to je zbog činjenice da toliko internetskih crva obavlja funkcije DDoS-a
automobili ili samo botovi. Kao što znate, tijekom DDoS napada količina odlaznog prometa jednaka je maksimalnoj količini prometa po jedinici vremena. Naravno, na gigabitnom kanalu to možda neće biti toliko vidljivo ako se provede DdoS napadširina dial-up veze, ali u pravilu je upečatljiva sporost sustava pri otvaranju internetskih resursa (također bih želio napomenuti da ćemo govoriti o virusima koji se barem nekako skrivaju u sustavu, jer ne morate ništa objašnjavati ako imate datoteku u mapi Startup kfgsklgf.exe koju je uhvatio vatrozid itd.). sljedeći na popisu je nemogućnost pristupa mnogim stranicama antivirusnih tvrtki, kvarovi plaćeni programi poput CRC-greške, to je već zbog činjenice da dosta komercijalnih zaštitnih programa podržava funkciju provjere pariteta ili integriteta izvršne datoteke (i ne samo zaštitnih programa, već i samih programera zaštite), što se radi zaštititi program od hakiranja. O učinkovitosti da i ne govorimo ovu metodu protiv krekera i reversera, međutim, signalizirajući na virusna infekcija ovo bi moglo savršeno funkcionirati. Naknada za programere početnike za procese koji se ne mogu uništiti, nešto što se događa kada se isključite ili ponovno pokrenete dolazi računalo dugotrajan završetak neke vrste procesa ili čak zamrzavanje računala prilikom gašenja. Mislim da nije potrebno govoriti o procesima, kao ni o mapi za pokretanje, ako tamo postoji nešto nerazumljivo ili novo, onda je to možda virus, ali o tome kasnije. Često ponovno pokretanje računalo, odlazak s interneta, dovrš antivirusni programi, poslužitelj ažuriranja nije dostupan Microsoft sustavi, nedostupnost web stranica antivirusnih tvrtki, greške prilikom ažuriranja antivirusa, greške uzrokovane promjenama u strukturi plaćenih programa, Windows poruka da su izvršne datoteke oštećene, izgled nepoznate datoteke u korijenskom direktoriju, ovo je samo kratki popis simptoma zaraženog stroja. Osim izravnog zlonamjernog softvera, postoji takozvani spyware, to su sve vrste keyloggera, dumpera elektronički ključevi, neželjeni "pomagači" pregledniku. Iskreno govoreći, prema načinu otkrivanja mogu se podijeliti u dva suprotna tabora. Pretpostavimo da je keylogger koji je dinamičkom bibliotekom priključen na ljusku operativnog sustava izuzetno teško otkriti u hodu, i obrnuto, pomoćnik (dodatak, niz za pretraživanje, itd.) koji dolazi niotkuda (u pravilu) hvata Stoga, mislim da je vrijeme da ostavimo ovu pesimističnu bilješku i prijeđemo na realnu praksu otkrivanja i deaktiviranja zlonamjernog softvera.
[Otkrivanje u hodu]
%WINDIR%\Driver Cache\driver.cab
zatim iz mapa za ažuriranje OS-a, ako postoje, zatim iz %WINDIR%\system32\dllcache\ i zatim samo iz
%WINDIR%\system32\
Možda će OS reći da su datoteke oštećene i zatražiti distribucijski disk, ne slažete se! Inače će se oporaviti i rupa će se ponovno otvoriti. Kada dovršite ovaj korak, možete početi lokalizirati virus. Pogledajte koje se aplikacije koriste Mrežna veza, praktični mali program TCPView pomaže, ali neki crvi imaju dobar algoritam šifriranja ili gore od toga, priključeni procesima ili prerušeni u procese. Najčešći proces za prerušavanje je nedvojbeno servis svhost.exe, u upravitelju zadataka postoji nekoliko takvih procesa, a što je najupečatljivije, možete napraviti program s istim imenom i tada je gotovo nemoguće razlučiti tko je tko . Ali postoji šansa i ovisi o pozornosti. Prije svega, pogledajte u upravitelju zadataka (ili bolje u programu Istraživač procesa) programer softvera. Za svhost.exe, ovo nije čudno M$, naravno, možete dodati lažne informacije virusnom kodu, ali postoji nekoliko nijansi. Prva i vjerojatno glavna je ta da dobro napisan virus ne sadrži uvozne tablice ili podatkovne dijelove. Stoga takva datoteka nema resurse, pa se stoga ne može pisati u resurse kreatora. Ili možete stvoriti resurs, ali tada će se pojaviti dodatna veličina datoteke, što je vrlo nepoželjno za virusmakera. Moram reći i za svhost.exe, ovo je skup usluge sustava a svaka služba je pokrenuta datoteka s određenim parametrima. Sukladno tome, u Upravljačkoj ploči -> Administrativni alati -> Usluge,
sadrži sve svhost.exe usluge koje se mogu preuzeti, savjetujem vam da brojite broj pokrenutih usluga i svhost.exe procesa, ako ne konvergirate, onda je sve jasno (samo ne zaboravite usporediti broj RADNIH usluga) . Više detalja u Dodatku A.
Također treba napomenuti da je moguće da postoji virus među uslugama, mogu reći jednu stvar o tome, popis usluga postoji na MSDN-u i još mnogo mjesta na mreži, tako da samo uzimanje i usporedba neće biti problem. Nakon ovih koraka možete dobiti naziv datoteke koja je vjerojatno virus. Razgovarat ću još malo o tome kako odrediti virus izravno ili ne, ali sada se odvojimo od obrazloženja i pogledajmo još nekoliko točaka. Kao što vjerojatno već znate, za normalna operacija OS treba samo 5 datoteka u korijenskom direktoriju, tako da možete sigurno izbrisati sve ostale datoteke, osim ako naravno ne uspijete staviti programe u korijenski direktorij. Usput, datoteke za normalan rad, evo ih: ntldr
boot.ini
datoteka stranice.sys
Bootfont.bin
NTDETECT.COM
Ne bi trebalo biti ništa drugo. Ako postoji, a ne znate odakle je došao, idite na poglavlje [Detaljna analiza]. Također ćemo razmotriti pripajanje procesima u poglavlju [Detaljna analiza], a sada razgovarajmo o automatskom pokretanju. Naravno, virus se u pravilu mora nekako učitati pri pokretanju sustava. U skladu s tim, gledamo sljedeće ključeve registra za sumnjivih programa. (A ako ste već pronašli virus, onda potražite naziv datoteke posvuda u registru i izbrišite ga):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskSchedulerHKLM\
SOFTVER\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sve je ovo rečeno o otkrivanju jednostavnih crva. Naravno, računajte dobro skriveni virus teško. Pronalaženje ovog crva i njegovo deaktiviranje oduzelo mi je oko 10 minuta vremena, naravno, znao sam gdje tražiti, to mi je olakšalo zadatak. Međutim, možemo otkriti dobar backdoor, keylogger, stealth virus ili samo virus koji koristi presretanje API poziva sustav datoteka(tada virus ispadne stvarno nevidljiv), virus koji struji, općenito, postoji niz nijansi, ali takvih je kreacija stvarno malo, malo je pravih kreatora virusa ovih dana. Razočaravajuće ... Pokušat ću govoriti o njima u sljedećim člancima. sad prijeđimo na špijunski softver, ili, kako ih zovu buržoaski SpyWare. Opet ću objasniti na primjerima špijuna koje sam osobno uhvatio, da moje riječi ne izgledaju kao prazna fantazija.
Počet ću svoju priču s najobičnijim špijunima. U jednom notornom časopisu jedan dobar programer ispravno nazvao magarećim buhama. Najjednostavniji špijun vrlo se često skriva iza alatne trake nevinog izgleda. Znaj da ako si se, iznenada, niotkuda, pojavio novi gumb ili traku za pretraživanje u pregledniku, smatrajte da vas netko prati. Vrlo je jasno vidljivo ako ste se iznenada promijenili Početna stranica preglednik, nema se što reći. Naravno, molim vas da mi oprostite zbog nekih netočnosti u terminima. Virusi koji mijenjaju početne stranice u pregledniku neće nužno biti spyware, ali u pravilu jesu, pa mi dopustite da ih klasificiram kao spyware ovdje u ovom članku. razmislite o primjeru iz života, kada sam došao na posao i vidio traku za pretraživanje čudnog izgleda u pregledniku na jednom računalu, nisam dobio ništa kada sam pitao odakle dolazi. Morao sam to sam shvatiti. Kako špijun uopće može ući u sustav? Postoji nekoliko metoda, kao što ste već primijetili, o kojima govorimo Internet Explorer, činjenica je da je najčešći način prodiranja virusa u sustav putem preglednika upravo korištenjem ActiveX tehnologije, sama tehnologija je već dovoljno opisana i neću se zadržavati na njenom razmatranju. Također možete zamijeniti početnu stranicu, na primjer, jednostavnom Java skriptom koja se nalazi na stranici, isti javascript može čak i učitati datoteke i izvršiti ih na ranjivom sustavu. Banalno pokretanje programa navodno za gledanje slika s plaćenih stranica poznatog smjera u 98% slučajeva sadrži zlonamjerni softver. Kako biste znali gdje tražiti, postoje tri najčešća načina na koje su špijuni locirani i rade na žrtvinom stroju.
Prvi je registar i ništa više, virus može sjediti pri pokretanju, ili ga možda uopće nema na računalu, ali ima jedan cilj - zamijeniti početnu stranicu preglednika kroz registar. Ako su virus ili skripta samo jednom zamijenili početnu stranicu, nema pitanja, samo trebate obrisati ovaj ključ u registru, ali ako se nakon čišćenja, nakon nekog vremena, ključ ponovno pojavi, tada je virus pokrenut i stalno pristupa registar. Ako imate iskustva s debuggerima kao što je SoftIce, možete postaviti prijelomnu točku na pristup registru (bpx RegSetValueA, bpx RegSetValueExA) i pratiti koji program, osim standardnih, pristupa registru. Dalje već po logici. Drugi su presretači sistemskih događaja, takozvani hookovi. U pravilu, hookovi se više koriste u keyloggerima, te su biblioteka koja prati i, ako je moguće, mijenja poruke sustava. Obično već postoji sam program i knjižnica koja mu je priložena, tako da istražujete glavni modul programa nećete dobiti ništa zanimljivo.
Više o ovome i sljedeći način pogledajte detaljnu analizu u nastavku poglavlja.
I konačno, treći način je priložiti svoju biblioteku standardni programi OS, kao što su explorer.exe i iexplorer.exe, drugim riječima, pisanje dodataka za te programe. Ovdje opet postoji nekoliko načina, ovo je privitak koristeći BHO (Gorlum je pisao o samoj metodi privitka, iskoristivši priliku da ga pozdravim i čast) i jednostavno ugrađivanje vaše biblioteke u izvršnu datoteku. razlika je, koliko ja razumijem, u tome što je Browser Helper Object opisala i predložila sama M$ korporacija i koristi se kao dodatak za preglednik, a uvođenje biblioteka više nije toliko dodatak- u, ali kao samodostatan program, više podsjeća na datoteka virus prethodnih godina.
Ja ću vam dati ključeve registra za opću obuku, gdje se mogu registrirati robe niske kvalitete, u obliku alatnih traka, gumba i početnih stranica preglednika.
Početna stranica
Postavka HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main parameter StartPage (S-1-5-21-.... ovaj ključ može biti drugačiji na različitim strojevima)
Registriranje objekata poput gumba, alatnih traka itd.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\
Tu se registriraju svi "pomagači", a ako ih nemate, ključ bi trebao biti prazan, ako nije prazan, onda ga obrišite.
Dakle, ako niste u redu s ovim tipkama, a želite to shvatiti dalje, onda potražite dalje.
[U potrazi za boljim]
Budući da sam u trenutku pisanja ovog članka želio učiniti ovaj članak razumljivim svima, ovo poglavlje će se nekima možda činiti nerazumljivim, ali pokušao sam sve pojednostaviti što sam bolje mogao. Neću vam objašnjavati arhitekturu PE datoteke, iako ćemo se pozvati na nju. Na netu ima mnogo priručnika s više detalja, a Iczelion je dobro napisao o PE datotekama.Možda ću i ja to jednog dana opisati.
Dakle, za početak detaljne analize, potrebni su nam neki alati, ja ih koristim u ovom slučaju i savjetujem vam da koristite PETools by NEOx i PEiD (Općenito možete proći s jednim Soft Iceom, ali bolje više alata da, jednostavnije je, za reverzere, primijetit ću da ćemo sada govoriti o pregledu tablice uvoza i pakiranju datoteke, stoga zanemarite perverziju koju ćete sada vidjeti)
Dakle, kao što sam rekao, bio je takav slučaj da su se traka za pretraživanje i početna stranica pojavile u pregledniku niotkuda. Nakon provjere registra, nisam našao promjenu na stat stranici, niti sam našao registraciju dodataka u pregledniku. Pomnijim ispitivanjem pokazalo se da dati niz pretraživanje (alatna traka je jednostavnija) pojavljuje se u svim prozorima OS-a. Ovo je već malo promijenilo bit stvari. Pretpostavio sam da to rade dva špijuna, neovisna jedan o drugome, i to je bio način upoznavanja dinamička biblioteka. Pritom treba razlikovati da ako je alatna traka bila samo u pregledniku, to znači da je uvedena u proces iexplorer.exe, no mi smo je imali posvuda, stoga je bilo potrebno provjeriti u explorer.exe . Počeo sam provjeravati preglednik. Da bih to učinio, pokrenuo sam PETools i samo pogledao koje biblioteke preglednik koristi. Posrećilo mi se da sam se suočio s nemarnim kreatorom virusa, u pozadini knjižnice sustava iz %SYSTEMROOT% postojao je određeni smt.dll sa stazom koja ide negdje u TEMP. Ponovno pokrenite sustav u sigurnom načinu rada i uklonite ovu biblioteku, i sve je u redu, špijun je ubijen. Ostaje samo ponovno pozvati PETools, desnom tipkom miša kliknuti na naš proces i ponovno izgraditi datoteku. Ovo je najjednostavniji slučaj u mojoj praksi. Prijeđimo na sljedeći, pronađite i ukinite alatnu traku. Na isti način, pogledao sam proces explorer.exe i nisam našao ništa upadljivo. Iz ovoga slijede dvije opcije, ili ne znam sve biblioteke napamet, pa se alatna traka izgubila među njima, ili je ne mogu pronaći prema svom znanju. Srećom prvi je izašao. Ali kako onda razlikovati pravu knjižnicu od lažne. Reći ću vam, pa ćete sami shvatiti. Kao što znate, proizvođači virusa jure za minimiziranjem koda i enkripcijom. Odnosno, u pravilu neće ležati niti jedna alatna traka otvorena forma, prvo, kod se može smanjiti, što znači da je neophodan, i drugo, ako netko (češće čak ni antivirus, već konkurent) otkrije ovu knjižnicu tada mu je lakše razumjeti nešifrirani kod. Stoga uzimamo PEiD i proizvodimo skupno skeniranje uvezene knjižnice. Microsoftove biblioteke prirodno su napisane u Visual C++ i ništa ih ne pakira, tako da ako vidimo (a upravo sam vidio sumnjivu seUpd.dll koju je pakirao UPX) pakiranu ili šifriranu biblioteku, onda je 99% ovo ono što smo bili tražim. Provjerava li ona to ili ne, vrlo je jednostavno, prijeđi na siguran način i vidjeti rezultat. Naravno, moglo bi se raspakirati, pogledati dissam listing i razmisliti o tome što ona radi, ali nećemo o tome. Ako još uvijek niste pronašli zapakiranu biblioteku, onda je korisno koristiti uređivač resursa kao što je Restorator da biste vidjeli verzije datoteka, kao što sam rekao, za sve biblioteke iz M $ tamo piše. Upravo se na takvim slučajevima probijaju proizvođači virusa. Trebalo bi ih biti sram što uopće pišu takve viruse. Na kraju, također želim napomenuti da *.dll biblioteka ne mora nužno biti uvedena u procese. Windows ima ovo korisna primjena poput rundll32.exe i mogu pokrenuti bilo koju biblioteku s ovim procesom. I pritom, nije potrebno pisati rundll32.exe myspy.dll u autoloadu, dovoljno je pisati unutar zaražene datoteke. Tada ćete vidjeti samo svoje (zaražene datoteke koje antivirusni program vjerojatno neće otkriti) i rundll32.exe proces, i ništa više. Kako biti u takvim slučajevima? Ovdje ćete već morati proniknuti u strukturu datoteke i OS-a, pa ćemo to ostaviti izvan okvira ovog članka. Što se tiče pakiranja/šifriranja virusa, to se ne odnosi samo na knjižnice, već na sve sistemske datoteke. Na ovoj ugodnoj noti želim završiti glavni dio članka, puno je napisano, ali ovo je samo 1% svih metoda otkrivanja. Moja metoda, iako nije najbolja, ali je koristim sama i prilično produktivno (dobro, samo ne na svom računalu). Ako bude moguće, ako bude moguće, napisat ću nastavak o makro virusima, keyloggerima i backdoorima, jednom riječju o onome što sam već uhvatio.
[Hvala]
Želio bih izraziti svoju zahvalnost svima s kojima komuniciram na onome što jesu.
I ljudima koji su utjecali na mene i nekako me usmjerili na pravi put:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, itd.
[Dodatak A]
Popis sistemskih usluga svhost.exe (WinXP)
DHCP klijentivchost.exe -k netsvcs
DNS klijent svchost.exe -k NetworkService
Automatsko ažuriranje svchost.exe -k netsvcs
Sekundarna prijava svchost.exe -k netsvcs
Upravitelj logičkih diskova svchost.exe -k netsvcs
Pokrenite procese DCOM poslužitelja svchost -k DcomLaunch
Windows Management Instrumentation svchost.exe -k netsvcs
Promjena klijenta za praćenje veze svchost.exe -k netsvcs
Modul NetBIOS podrška putem TCP/IP svchost.exe -k LocalService
Računalni preglednik svchost.exe -k netsvcs
Određivanje hardvera ljuske svchost.exe -k netsvcs
Radna stanica svchost.exe -k netsvcs
Poslužitelj svchost.exe -k netsvcs
Usluga vraćanja sustava svchost.exe -k netsvcs
Windows Time Service svchost.exe -k netsvcs
Usluga evidentiranja pogrešaka svchost.exe -k netsvcs
Usluge kriptografije svchost.exe -k netsvcs
Pomoć i podrška svchost.exe -k netsvcs
Teme svchost.exe -k netsvcs
Obavijest o događaji sustava svchost.exe -k netsvcs
Poziv udaljene procedure (RPC) svchost -k rpcss
Sigurnosni centar svchost.exe -k netsvcs
Auto Connection Manager daljinski pristup svchost.exe -k netsvcs
HTTP protokol SSLsvchost.exe -k HTTPFilter
Proširenja upravljačkog programa WMI svchost.exe -k netsvcs
Usluga preuzimanja slika (WIA)svchost.exe -k imgsvc
Usluga pružanja mreže svchost.exe -k netsvcs
Servis serijski brojevi prijenosni multimedijski uređaji
svchost.exe -k netsvcs
Kompatibilnost brzo prebacivanje korisnika
svchost.exe -k netsvcs
Removable storagesvchost.exe -k netsvcs
Generički Host PnP uređaja svchost.exe -k LocalService
Application Controlsvchost.exe -k netsvcs
Pozadinska inteligentna usluga prijenosa svchost.exe -k netsvcs
Upravljači vezama za daljinski pristupvchost.exe -k netsvcs
Mrežne vezevchost.exe -k netsvcs
Sustav događaja COM+svchost.exe -k netsvcs
SSDP Discovery Service svchost.exe -k LocalService
Servis mrežno mjesto(NLA)svchost.exe -k netsvcs
Terminal Services svchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Pristup HID uređajima svchost.exe -k netsvcs
Usmjeravanje i daljinski pristup svchost.exe -k netsvcs
Obavijest svchost.exe -k LocalService
Planer zadataka svchost.exe -k netsvcs
Usluga poruka svchost.exe -k netsvcs
------ Ukupno šest procesa dok se izvode sve usluge -------
Sadržaj
Kada se računalo pokrene, pritisnite tipku F8. I odaberite "Siguran način rada s podrškom" naredbeni redak i pritisnite "Enter"
Na kraju preuzimanja pojavit će se prozor "Administrator: cmd.exe", gdje putem tipkovnice unesite "regedit.exe". Ponovno pritisnite "Enter" i idite na "Uređivač registra"
U registru Windows regedit sadržano informacije o sustavu i podatke o automatsko pokretanje programa na početku operativnog sustava. Ovdje ćemo pokušati pronaći tragove našeg banner virusa.
Za normalan rad OS-a potrebno je samo 5 datoteka u korijenskom direktoriju:
ntldr
boot.ini
datoteka stranice.sys
Bootfont.bin
NTDETECT.COM
Bez detaljna analiza ništa se ne može ukloniti iz registra. Morate biti 100% sigurni da se radi o virusu, a ne o programu koji je preuzet u korijensku mapu. Virus se mora nekako učitati pri pokretanju sustava, u pravilu se taj proces događa tijekom automatskog pokretanja. Stoga tražimo sumnjive programe u sljedećim ključevima registra. (A ako ste već pronašli virus, onda potražite naziv datoteke posvuda u registru i izbrišite ga):
Od samog početka tražimo virus u lancu:
\WindowsNT\CurrentVersion\Winlogon Pronađite unos na popisu Ljuska(XP) Windows7 nema ovaj odjeljak.
Gledamo: vrijednost parametra bi prema zadanim postavkama trebala biti Explorer.exe, ako postoji još nešto, izbrišite.
Sada pronađite unos: usernit(Dostupno u bilo kojem Windows verzije). Vrijednost ovog unosa trebala bi biti C:\Windows\system32\userinit.exe Sve što postoji osim ovog unosa se briše. Naravno, ako OS nije instaliran na pogonu C, tada će unos biti drugačiji.
Sljedeći korak je uređivanje odjeljka za automatsko učitavanje Trčanje .
Tražimo i otvaramo lanac: HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run (ovaj odjeljak odnosi se na Windows 7) U ovoj grani možete ukloniti sve osim antivirusnog softvera i softvera koji vam je također neophodan za rad (uslužni programi za printer, skype, skener).
Sljedeći lanac: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run Ovdje radimo isto kao u prethodnom odlomku.
Možda ćete morati zamijeniti datoteku "domaćini" koji se nalazi na: Open Start" i upišite: %systemroot%\system32\drivers\itd
Kopiramo standardni s web mjesta programera http://support.microsoft.com/kb/972034/ru i preimenujemo stari hosts.old.
Desni klik unutra slobodan prostor u mapi %WinDir%\system32\drivers\etc,
odaberite Novo, kliknite stavku Tekstualni dokument, unesite naziv hosts/ Otvorite novi host datoteku u uređivaču teksta "Notepad" i kopirajte spremljeni tekst sa stranice u datoteku. Preopterećujemo računalo.
Ponekad se dogodi da ne morate tražiti application.exe u Windows registru, već je dovoljno samo kada izađete na radnu površinu da biste proizveli brza provjera"Security Esseentiats" , ponovno pokrenite i kada se računalo uključi pojavit će se prozor koji označava naziv programa, recimo 2088322.exe, koji Windows Defender ne može prepoznati. Samo ćete morati napisati ovu vrijednost u "Start" - "Traži programe i datoteke", a zatim koristiti desni gumb mišem da saznate adresu ovog natpisa i izbrišete ga prvo u smeće, a zatim zauvijek.
Ako trebate provjeriti registar za radno računalo, tj. kada je OS potpuno učitan, ne morate koristiti "Safe Mode" samo ukucajte u izbornik "Start" naredba regedit i kliknite na otvorenu datoteku, a pred vama će se otvoriti "Registry Editor".
Ali što ako je nemoguće pokrenuti OS u sigurnom načinu rada, kako ukloniti banner i otključati Windows? U ovom slučaju moramo pribjeći alate treće strane, jedno računalo ovdje nije dovoljno. Razmotrite najviše najbolji uslužni programi danas koji će nam pomoći da otključamo računalo: "Kako ukloniti banner ako se Windows ne pokreće u sigurnom načinu rada"
Čovječe
najviše grozan virus
Na zemlji.
"neprikladno"
Sasvim nedavno, prije nekoliko godina, netko je predvidio da će za nekoliko godina surfanje internetom postati jednako opasno kao i šetnja mračnim ulicama grada. Sada su računalni virusi postali vrlo česti, a ova izjava se obistinila.
Virusi se nazivaju računalni programi koji ometaju produktivan rad korisnika na računalu. Kada je računalo zaraženo virusima, virusi se gotovo uvijek registriraju u registru operativnog sustava. Računalni virusi može uzrokovati: gašenje ili ponovno pokretanje računala, usporavanje operativnog sustava, oštećenje i brisanje datoteka, napad na poslužitelje putem interneta, povećanje računalnog prometa i mnoge druge radnje.
Ovo zahtijeva nekoliko koraka. Treba raščistiti radna memorija od virusa, uklonite virus s tvrdog diska i uklonite reference virusa s Windows registar. Nakon što trebate instalirati kvalitetan antivirus, odnosno složeno antivirusna zaštita. Za puna zaštita računalo, za početak, trebate ispravno popraviti registar. Popravak i analizu registra provode sljedeći programi:
AVPTool tvrtke Kaspersky Lab ili Dr. Web CureIt od Doctor Weba.
Odabir programa za skeniranje vašeg računala na viruse ovisi o antivirusnom programu instaliranom na vašem računalu. Trebali biste provjeriti s antivirusnim programima trećih strana. To jest, ako imate instaliran Kaspersky, morate provjeriti Doctor Webom. Prilikom provjere antivirus treće strane, trebate privremeno obustaviti zaštitu glavnog antivirusa.
Za , računalo bi se trebalo pokrenuti u sigurnom načinu rada. Nakon toga pokrenite jedan od preuzetih uslužnih programa. Ako se pronađe virus, treba ga izliječiti, ili ako se liječenje ne može prenijeti ili ako je navedeno u registru. Nakon toga ponovno pokrenite računalo u normalnom načinu rada.
Isključite internetsku vezu i zatvorite sve otvorene aplikacije. Trčanje AVZ program i ažurirati baze podataka potpisa. Zatim pokrenite skeniranje sustava. Program će se pokrenuti i automatski popraviti veze u registru i ukloniti viruse.
Također možete skenirati svoje računalo s drugim uslužnim programom HiJackThis. Pokrenite HiJackThis kao administrator i kliknite na gumb "Skeniraj sustav i spremi datoteku dnevnika".
Za optimizaciju operativnog sustava nakon, postoji mnogo programa. Mnogi uslužni programi popravljaju registar računala, uklanjaju bezvrijedne datoteke i defragmentirati tvrde diskove.
Kada radite s popravkom registra, morate biti izuzetno oprezni. Sve netočne promjene mogu dovesti do kvara operativnog sustava, pa čak i do njegovog kvara. Odnosno, na pogrešne radnje računalo se možda neće pokrenuti.
