สวัสดีผู้ดูแลระบบ! คำถาม, วิธีทำความสะอาดรีจิสทรีจากขยะที่สะสม: คีย์, พารามิเตอร์, ค่าที่เหลือ โปรแกรมระยะไกลแต่ฉันอยากทำอย่างถูกต้องเนื่องจากฉันมีประสบการณ์ที่น่าเศร้า
เมื่อไม่นานมานี้ ฉันติดตั้งโปรแกรมหนึ่งบนคอมพิวเตอร์ของฉัน และต้องประหลาดใจเมื่อพบว่ามีอีกโปรแกรมหนึ่งติดตั้งมาพร้อมกับโปรแกรมนั้นด้วย ซึ่งถือเป็นโปรแกรมที่สะอาดกว่า ระบบปฏิบัติการและทะเบียน สิ่งที่น่าสนใจที่สุดคือโปรแกรมนี้เริ่มเปิดตัวพร้อมกับ Windows โดยเสนอให้ทำความสะอาดคอมพิวเตอร์อย่างต่อเนื่อง ขยะต่างๆ. เพื่อความสนุกสนานฉันตัดสินใจลองแล้วคลิกตกลงกระบวนการทำความสะอาดรีจิสทรีจากรายการที่ไม่จำเป็นเริ่มต้นขึ้นหลังจากการตรวจสอบสิ้นสุดลงหนึ่งนาทีและโปรแกรมออกรายงานพบข้อผิดพลาด 1,024 รายการซึ่งยูทิลิตี้เสนอให้แก้ไขฉัน ตกลงและคลิกตกลงอีกครั้ง ข้อผิดพลาดของรีจิสทรีถูกลบออก และคอมพิวเตอร์รีบูทและไม่สามารถบู๊ตได้อีกต่อไป!
ที่ บูตครั้งถัดไปบนหน้าจอสีดำมีข้อผิดพลาด Windows\system32\config\system... และอย่างอื่น ด้วยความยากลำบากอย่างยิ่ง เราสามารถกู้คืนระบบปฏิบัติการโดยใช้บทความของคุณ
ฉันยังพบบทความที่น่าสนใจในเว็บไซต์ของคุณซึ่งคุณสามารถทำความสะอาดรีจิสทรีของคีย์ที่ไวรัสทิ้งไว้โดยไม่ต้องใช้โปรแกรมใด ๆ นั่นเป็นเหตุผลที่ฉันตัดสินใจเขียนถึงคุณและถาม วิธีทำความสะอาดรีจิสทรีจากขยะและจำเป็นด้วยซ้ำเพราะผู้ใช้หลายคนไม่เคยทำความสะอาดรีจิสทรีเลยและไม่ได้คิดถึงมัน
วิธีทำความสะอาดรีจิสทรี
1) รีจิสตรีคืออะไร!
2) การทำความสะอาดรีจิสทรีจำเป็นจริงหรือ?
3) คุณรู้หรือไม่ว่าหากโปรแกรมที่เป็นอันตรายทิ้งคีย์ไว้ในรีจิสทรี ก็จะไม่มีตัวล้างรีจิสทรีค้นพบพวกเขา วิธีค้นหาคีย์ที่ไม่จำเป็นในรีจิสทรีด้วยตนเองโดยไม่ต้องใช้โปรแกรมใด ๆ
3) วิธีทำความสะอาดรีจิสทรีด้วย EnhanceMySe7en
4) วิธีทำความสะอาดรีจิสทรีด้วย CCleaner
สวัสดีเพื่อน! มีการถามคำถามที่ดีและเพื่อตอบคำถามฉันจะบอกคุณโดยสรุปว่ารีจิสทรีคืออะไรและ Windows ใช้งานอย่างไร
การลงทะเบียนเป็นสิ่งสำคัญที่สุด ส่วนประกอบของวินโดวส์ปรากฏใน Windows 3.1 โบราณเป็นไฟล์ Req.dat.
ทะเบียนประกอบด้วย ฐานข้อมูลขนาดใหญ่ข้อมูลหรือการจัดเก็บข้อมูลการกำหนดค่าของโปรแกรมทั้งหมดที่ติดตั้งในระบบปฏิบัติการและ Windows เอง ข้อมูลเกี่ยวกับผู้ใช้ทั้งหมด นามสกุลไฟล์ ไดรเวอร์ อุปกรณ์ที่เชื่อมต่อ การเปิดใช้งาน และอื่นๆ ทั้งหมดนี้ถูกจัดเก็บไว้ในรีจิสทรี
แอปพลิเคชันใด ๆ เมื่อติดตั้งในระบบปฏิบัติการจะทิ้งข้อมูลการกำหนดค่าไว้ในรีจิสทรีและแอปพลิเคชันใด ๆ จะไม่ลบข้อมูลทั้งหมดออกจากรีจิสทรีเมื่อถอนการติดตั้ง (ลบ) ออกจากคอมพิวเตอร์ นี่เป็นข้อเท็จจริงที่รู้จักกันดี
เช่น ฉันจะลบออกจากคอมพิวเตอร์ โปรแกรมอะโดบี Photoshop จากนั้นฉันจะตรวจสอบรีจิสทรีว่ามีคีย์สำหรับโปรแกรมนี้หรือไม่และพวกเขาจะอยู่ที่นั่น
ก็จะเกิดขึ้นเช่นเดียวกันกับ ดาวน์โหลดโปรแกรมผู้เชี่ยวชาญ.
และถ้าเอาออกมากกว่านั้น โปรแกรมจริงจังเช่น สังเกตว่าจะทิ้งขยะไว้ในถังขยะมากน้อยเพียงใด และถ้าคุณจินตนาการว่าเราใช้ระบบปฏิบัติการมาเป็นเวลาหนึ่งปีแล้ว!
เป็นที่ชัดเจนว่าขยะจำนวนมากที่โปรแกรมทิ้งไว้หลังจากถูกลบออกจากคอมพิวเตอร์ยังคงอยู่ในรีจิสทรี แต่เพื่อนของฉันเป็นอีกคำถามหนึ่ง - ขยะทั้งหมดนี้รบกวนประสิทธิภาพของระบบปฏิบัติการหรือไม่ ไม่มีใครสามารถพิสูจน์ได้ว่ามีอะไรป้องกันอยู่ นี่ไม่ใช่ข้อพิสูจน์ว่าเขาเอง นักพัฒนาวินโดวส์ Microsoft ที่รู้จักกันดีไม่เคยสร้าง เครื่องมือพิเศษสำหรับผลิตผลของคุณ ซึ่งจะล้างรีจิสทรีโดยอัตโนมัติ ใช่ มันมีอยู่ด้วย แต่คุณสามารถล้างรีจิสทรีได้ด้วยตนเองเท่านั้นโดยใช้โปรแกรมแก้ไข regedit พิเศษที่มีอยู่ใน Windows
ฉันจะล้างรีจิสทรีด้วยตัวเองในกรณีใดบ้าง
เพื่อน ๆ ครั้งหนึ่งฉันทดลองอาการคลื่นไส้ด้วยน้ำยาทำความสะอาดรีจิสทรีหลายชนิด แต่ไม่เคยได้ผลลัพธ์ที่น่าเชื่อเลย ผมคิดว่าไม่ ความต้องการที่ดีอย่างต่อเนื่อง ทำความสะอาดอัตโนมัติรีจิสตรี เนื่องจากไม่มี ทำความสะอาดอัตโนมัติดีเท่าที่คุณคิด หากคุณลบโปรแกรมและทิ้งคีย์ไว้ในรีจิสทรี Windows จะไม่สามารถเข้าถึงคีย์เหล่านี้ได้ และเนื่องจากคีย์เหล่านี้ ประสิทธิภาพของระบบหรือข้อผิดพลาดใดๆ จะไม่ลดลงแต่อย่างใด ขยะในรีจิสทรีอาจมีขนาดหลายสิบกิโลไบต์ ส่วนที่ไม่จำเป็นและไม่มีผลกระทบต่อความเร็วของระบบอย่างเห็นได้ชัด
แต่คุณควรทราบวิธีลบรายการที่ไม่จำเป็นในรีจิสทรีและนี่คือเหตุผล
ฉันจะยกตัวอย่างกรณีจริง เพื่อนของฉันคนหนึ่งหยิบโปรแกรมอันตรายที่ทำงานขึ้นมา ไฟล์ปฏิบัติการจากโฟลเดอร์ C:\Windows\AppPatch\hsgpxjt.exe เราลบไวรัสได้สำเร็จ แต่รายการที่สร้างในรีจิสทรีโดยโปรแกรมที่เป็นอันตรายยังคงอยู่ เนื่องจากหน้าต่างต่อไปนี้ปรากฏขึ้นเมื่อระบบบูท
ไม่มีโปรแกรมทำความสะอาดรีจิสทรีอัตโนมัติที่มีอยู่ช่วยฉันได้เลย พวกเขาไม่พบรายการที่เป็นอันตราย
ฉันต้องค้นหาคีย์ที่เป็นอันตรายในรีจิสทรีที่อยู่ในกลุ่มรีจิสทรีด้วยตนเอง
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
เพิ่มคีย์แล้ว
โหลด REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
เรียกใช้ REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
เพิ่มคีย์แล้ว
ผู้ใช้เริ่มต้น REG_SZ C:\Windows\apppatch\hsgpxjt.exe
ฉันเขียนเกี่ยวกับกรณีนี้ บทความโดยละเอียด"" คุณสามารถอ่านมันได้ จากบทความนี้ คุณสามารถเรียนรู้วิธีค้นหาคีย์ที่ไม่จำเป็นในรีจิสทรีโดยใช้คีย์ในตัว ตัวแก้ไข Windowsลงทะเบียนใหม่
เราต้องการอะไรสำหรับผู้ใช้ที่ต้องการมีเครื่องมืออัตโนมัติสำหรับทำความสะอาดรีจิสทรี?
วิธีทำความสะอาดรีจิสทรีด้วย EnhanceMySe7en
ก่อนที่จะใช้โปรแกรมทำความสะอาดรีจิสทรี ฉันแนะนำให้คุณสร้างจุดคืนค่าระบบ (มาวางฟางก่อนที่เราจะล้ม)
ครั้งหนึ่งฉันใช้โปรแกรม EnhanceMySe7en มันเป็น tweaker ที่ดีมากสำหรับ Windows 7 รวมสองโหล เครื่องมือที่สะดวกสำหรับ การจัดการวินโดวส์ 7. EnhanceMySe7en ยังมีตัวจัดการการเริ่มต้น ตัวจัดเรียงข้อมูลอย่างหนักดิสก์ไดรฟ์ เครื่องมือตรวจสอบฮาร์ดไดรฟ์ และตัวจัดการกระบวนการ (เครื่องมือบางอย่างมีเฉพาะใน รุ่นที่ต้องชำระเงิน). น่าเสียดายที่โปรแกรมเจ๋งๆ นี้ไม่ใช่ ภาษาอังกฤษแต่ทุกอย่างจะชัดเจนสำหรับคุณอยู่ดี
เว็บไซต์อย่างเป็นทางการของโปรแกรม http://seriousbit.com/tweak_windows_7/
คลิกดาวน์โหลด v3.7.1, 12.6 MB และดาวน์โหลด รุ่นฟรี,
ไม่มีเครื่องมือบางอย่าง เช่น ตัวจัดเรียงข้อมูล ฮาร์ดไดรฟ์.
ในการเริ่มทำความสะอาดรีจิสทรีคุณต้องไปที่แท็บเครื่องมือแล้วคลิกปุ่มเดียว เครื่องมือทำความสะอาดรีจิสทรี.
จากนั้นคุณสามารถดูรายละเอียดหรือคลิกที่ปุ่มลบทันทีเพื่อลบข้อผิดพลาด
เพียงเท่านี้รีจิสทรีก็ถูกล้างแล้ว
วิธีทำความสะอาดรีจิสทรีด้วย CCleaner
มากไปกว่านั้น โปรแกรมง่ายๆ CCleaner ซึ่งผู้ใช้ส่วนใหญ่ใช้ มันถูกติดตั้งสำหรับทุกคนที่ต้องการและไม่ต้องการมันอย่างแท้จริง สำหรับฉันบางครั้งดูเหมือนว่านี่เป็นส่วนหนึ่งของชุดมาตรฐาน โปรแกรมวินโดวส์. ไม่ว่าพวกเขาจะนำคอมพิวเตอร์ประเภทไหนมาซ่อมให้ฉัน มันก็จะติดตั้งอยู่ที่นั่นเสมอ
คุณสามารถดาวน์โหลดโปรแกรมได้จากเว็บไซต์อย่างเป็นทางการ
http://ccleaner.org.ua/download/
ใช้พกพาได้มั้ยคะ? เวอร์ชัน CCleanerทำงานได้โดยไม่ต้องติดตั้งและพกพาติดตัวไปในแฟลชไดรฟ์ มีแม้กระทั่งเวอร์ชันสำหรับ Mac
ดาวน์โหลดแล้วรันโปรแกรมในฐานะผู้ดูแลระบบ
ก่อนอื่นให้ไปที่การตั้งค่าและเลือกภาษารัสเซีย
แท็บรีจิสทรี คลิกที่ปุ่มค้นหาปัญหา
ครั้งแรกที่โปรแกรมพบข้อผิดพลาดมากมาย
คลิกแก้ไข
และเลือกตำแหน่งที่จะบันทึกข้อมูลสำรอง
จากนั้นคุณสามารถดูข้อผิดพลาดของรีจิสทรีทั้งหมดหรือคลิกปุ่มแก้ไขรายการที่ทำเครื่องหมายไว้
นี้ สำเนาสำรองคุณจะต้องใช้มันหากมีสิ่งผิดปกติเกิดขึ้นหลังจากทำความสะอาดรีจิสทรี มีอะไรผิดพลาดเกิดขึ้น? ยกตัวอย่างบ้างแล้ว โปรแกรมที่เปิดใช้งานจะขอเปิดใช้งานอีกครั้ง แต่ไม่ต้องกังวล สิ่งนี้เกิดขึ้นน้อยมาก ในกรณีนี้ ให้กด ดับเบิลคลิก เมาส์ขวาบน ไฟล์สำรองรีจิสทรี
ตอบ ใช่
ไวรัสและรีจิสทรี!
ประมาณสามหรือสี่ปีที่แล้ว Evgeny Kaspersky ได้ทำการคาดการณ์ดังกล่าวเนื่องจากกิจกรรมของคอมพิวเตอร์ยมโลกกำลังเติบโตขึ้นดังนั้นใน "อนาคตอันใกล้นี้การเดินบนอินเทอร์เน็ตจะเป็นอันตรายพอ ๆ กับการเดินไปตามถนนมืดในตอนกลางคืน" ช้าแต่ชัวร์ว่าเวลานั้นจะมาถึง
ไวรัสเรียกว่าโปรแกรมที่เป็นอันตรายพิเศษ เมื่ออยู่ในคอมพิวเตอร์ ในกรณีส่วนใหญ่ไวรัสจะถูกลงทะเบียนในรีจิสทรีและก่อให้เกิด การกระทำต่อไปนี้: ทำให้คอมพิวเตอร์ปิดและรีบูต; ทำให้ระบบปฏิบัติการช้าลง ทำให้ไฟล์เสียหาย ส่งข้อความทางอินเทอร์เน็ตซึ่งนำไปสู่การใช้ปริมาณข้อมูล และอีกมากมาย เพราะความสมบูรณ์แบบไม่มีขีดจำกัด
* เปิดตัว HijackThis คลิกที่ปุ่ม "ทำการสแกนระบบและบันทึกไฟล์บันทึก" คุณต้องรันโปรแกรมเหล่านี้ด้วยสิทธิ์ของผู้ดูแลระบบ
ขณะนี้ไม่มีปัญหาการขาดแคลนโปรแกรมในการเพิ่มประสิทธิภาพและดูแลรีจิสทรี คุณสามารถเลือกโปรแกรมอื่น ทดสอบ ทำความสะอาด และจัดเรียงข้อมูลได้ ยูทิลิตี้จำนวนมากมีฟังก์ชันหลายอย่างเพื่อช่วยในรีจิสทรี สาธารณูปโภคมากมายมีมาก อินเตอร์เฟซที่ดีและมีตัวเลือกการปรับแต่งต่างๆ มากมาย คุณสามารถเริ่มใช้งานได้ตามเวลาเมื่อคุณบูตเครื่องคอมพิวเตอร์ นี่คือยูทิลิตี้ที่ผ่านการทดสอบตามเวลา: รีจิสทรี AusLogicsจัดเรียงข้อมูล, AusLogics เพิ่มความเร็ว, Register_DivX, เอกสาร Reg, Reg ถังขยะ, การตรวจสอบ OneButton
เมื่อทำงานกับรีจิสทรีคุณต้องระวังให้มากและทำเฉพาะสิ่งที่ชัดเจนเท่านั้น แต่ควรเชิญผู้เชี่ยวชาญจะดีกว่า เขาจะติดตั้งและแสดงวิธีตรวจสอบรีจิสทรี
จนถึงตอนนี้ฉันไม่รู้จักใครที่ไม่ได้รับความเดือดร้อนจากการกระทำของไวรัสคอมพิวเตอร์ทั้งทางตรงและทางอ้อม บริษัทแอนตี้ไวรัสต้องการจำนวนมากสำหรับผลิตภัณฑ์ของตนซึ่งไม่เคยให้การป้องกันที่เพียงพอเลย คำถามคือทำไมต้องซื้อซอฟต์แวร์ป้องกันไวรัสเลย? ทุกสิ่งที่มนุษย์สร้างขึ้นสามารถถูกทำลายได้ ซึ่งใช้ได้กับทั้งโปรแกรมป้องกันไวรัสและไวรัส การหลอกลวงบุคคลนั้นยากกว่าโปรแกรมมาก ดังนั้นบทความนี้จึงมีวัตถุประสงค์เพื่ออธิบายวิธีการตรวจจับและปิดการใช้งานไวรัส ซอฟต์แวร์ปราศจาก ผลิตภัณฑ์ป้องกันไวรัส. โปรดจำไว้ว่า มีเพียงสิ่งเดียวที่ไม่สามารถหลีกเลี่ยง/หัก/หลอกลวงได้ - นี่คือความรู้ ความเข้าใจของคุณเองเกี่ยวกับกระบวนการนี้ วันนี้ผมจะมาเล่าให้ฟังเกี่ยวกับ ตัวอย่างจริงวิธีตรวจจับและตรวจจับเวิร์มอินเทอร์เน็ตและสปายแวร์บนคอมพิวเตอร์ของคุณ แน่นอนว่ามีหลายประเภท แต่ฉันเลือกประเภทที่พบบ่อยที่สุดและตัดสินใจเขียนเกี่ยวกับสิ่งที่ฉันมีในทางปฏิบัติเพื่อไม่ให้พูดอะไรที่ไม่จำเป็น หากคุณโชคดีในการค้นหา ฉันจะบอกคุณเกี่ยวกับมาโครไวรัส แบ็คดอร์ และรูทคิท ดังนั้น ก่อนที่เราจะเริ่มต้น ฉันจะทราบว่าในบทความนี้ฉันกำลังพิจารณาเฉพาะระบบปฏิบัติการตระกูล NT ที่เชื่อมต่อกับอินเทอร์เน็ตเท่านั้น ตัวฉันเองมี Win2000 SP4 ฉันติดไวรัสบน WinXP PE มาดูการวิเคราะห์ระบบสำหรับเวิร์มและสายลับแบบรวดเร็วและละเอียดกันดีกว่า ด้วยการตรวจสอบอย่างรวดเร็ว เราเพียงตรวจจับการมีอยู่ของโปรแกรมและแปลเป็นภาษาท้องถิ่น การวิเคราะห์โดยละเอียดอยู่ในระหว่างการดำเนินการในระดับไฟล์และกระบวนการ ที่นั่นฉันจะพูดถึงโปรแกรม PETools ที่ยอดเยี่ยม แต่ทุกอย่างมีเวลาของมัน
[การวิเคราะห์ระบบ]
เป็นเหตุผลที่ในการตรวจจับและต่อต้านโปรแกรมที่เป็นอันตราย จำเป็นต้องมีโปรแกรมดังกล่าวอยู่ การป้องกันยังคงเป็นการป้องกัน เราจะพูดถึงเรื่องนี้ในภายหลัง แต่สิ่งแรกที่คุณต้องทำคือตรวจสอบว่ามีไวรัสในคอมพิวเตอร์ของคุณหรือไม่ สำหรับทุกประเภท มัลแวร์จึงมีอาการที่บางครั้งมองเห็นได้ด้วยตาเปล่าบางครั้งก็ไม่สังเกตเลย มาดูกันว่าอาการทั่วไปของการติดเชื้อเป็นอย่างไร เนื่องจากเราจะพูดถึงคอมพิวเตอร์ที่เชื่อมต่อกับ เครือข่ายทั่วโลกแล้วอาการแรกก็เกินปกติ การบริโภคที่รวดเร็วตามกฎแล้วการรับส่งข้อมูลขาออกเกิดจากการที่เวิร์มอินเทอร์เน็ตจำนวนมากทำหน้าที่ DDoS
เครื่องจักรหรือแค่บอท ดังที่คุณทราบ ในระหว่างการโจมตี DDoS จำนวนการรับส่งข้อมูลขาออกจะเท่ากับจำนวนการรับส่งข้อมูลสูงสุดต่อหน่วยเวลา แน่นอนว่าบนช่องสัญญาณกิกะบิตสิ่งนี้อาจไม่สังเกตเห็นได้ชัดเจนนัก การโจมตีแบบดีดอสความกว้างของการเชื่อมต่อผ่านสายโทรศัพท์ แต่ตามกฎแล้วความเฉื่อยของระบบเมื่อเปิดแหล่งข้อมูลอินเทอร์เน็ตนั้นน่าทึ่ง (ฉันอยากจะทราบด้วยว่าเรากำลังพูดถึงไวรัสที่อย่างน้อยก็ซ่อนตัวเองอยู่ในระบบเพราะมี ไม่จำเป็นต้องอธิบายอะไรเลยหากคุณมีไฟล์ในโฟลเดอร์ Startup kfgsklgf.exe ซึ่งไฟร์วอลล์จับได้ ฯลฯ ) ถัดไปในรายการคือการไม่สามารถเข้าถึงเว็บไซต์ของ บริษัท แอนติไวรัสหลายแห่งได้ซึ่งทำงานผิดปกติ โปรแกรมที่ต้องชำระเงินพิมพ์ข้อผิดพลาด CRC นี่เป็นเพราะความจริงที่ว่าตัวป้องกันเชิงพาณิชย์บางตัวสนับสนุนฟังก์ชั่นการตรวจสอบความเท่าเทียมกันหรือความสมบูรณ์ของไฟล์ปฏิบัติการ (และไม่เพียง แต่ตัวป้องกันเท่านั้น แต่ยังรวมถึงผู้พัฒนาการป้องกันด้วย) ซึ่งทำเพื่อ ปกป้องโปรแกรมจากการแฮ็ก อย่าพูดถึงประสิทธิภาพ วิธีนี้กับแครกเกอร์และตัวกลับตัวอย่างไรก็ตามเป็นการส่งสัญญาณถึง การติดเชื้อไวรัสสิ่งนี้สามารถทำงานได้อย่างสมบูรณ์แบบ ผู้ผลิตไวรัสมือใหม่ต้องจ่ายเงินสำหรับกระบวนการที่ไม่สามารถฆ่าได้ จะเกิดอะไรขึ้นเมื่อคุณปิดหรือรีบูต คอมพิวเตอร์กำลังจะมาการปิดกระบวนการบางอย่างเป็นเวลานาน หรือแม้แต่คอมพิวเตอร์ค้างเมื่อปิดเครื่อง ฉันคิดว่าไม่จำเป็นต้องพูดคุยเกี่ยวกับกระบวนการและเกี่ยวกับโฟลเดอร์เริ่มต้นด้วยหากมีสิ่งที่เข้าใจยากหรือใหม่ที่นั่นอาจเป็นไวรัส แต่จะเพิ่มเติมในภายหลัง รีบูตบ่อยครั้งคอมพิวเตอร์ การออกจากอินเทอร์เน็ต การสิ้นสุด โปรแกรมป้องกันไวรัส, อัพเดตเซิร์ฟเวอร์ไม่พร้อมใช้งาน ระบบไมโครซอฟต์, เว็บไซต์บริษัทป้องกันไวรัสไม่พร้อมใช้งาน, ข้อผิดพลาดเมื่ออัปเดตโปรแกรมป้องกันไวรัส, ข้อผิดพลาดที่เกิดจากการเปลี่ยนแปลงโครงสร้างของโปรแกรมที่ต้องชำระเงิน, ข้อความหน้าต่างว่าไฟล์ปฏิบัติการได้รับความเสียหายลักษณะที่ปรากฏ ไฟล์ที่ไม่รู้จักในไดเร็กทอรีราก นี่เป็นเพียงรายการสั้นๆ ของอาการของเครื่องที่ติดไวรัส นอกจากมัลแวร์โดยตรงแล้วยังมีสิ่งที่เรียกว่าสปายแวร์ซึ่งเป็นคีย์ล็อกเกอร์และดัมพ์ทุกประเภท กุญแจอิเล็กทรอนิกส์, "ผู้ช่วยเหลือ" ที่ไม่ต้องการไปยังเบราว์เซอร์ พูดตามตรง ตามวิธีการตรวจจับ พวกเขาสามารถแบ่งออกเป็นสองค่ายฝ่ายตรงข้ามได้ สมมติว่าคีย์ล็อกเกอร์ที่แนบโดยไลบรารีไดนามิกกับเชลล์ระบบปฏิบัติการนั้นตรวจพบได้ยากมากในทันที และในทางกลับกัน ผู้ช่วย (ปลั๊กอิน แถบค้นหา ฯลฯ) ที่มาจากที่ไหนก็ไม่รู้ (ปลั๊กอิน แถบค้นหา ฯลฯ) ) ไปยัง Internet Explorer (ตามกฎ) จะดึงดูดสายตาทันที ดังนั้น ฉันคิดว่าถึงเวลาที่ต้องทิ้งข้อความในแง่ร้ายนี้และก้าวไปสู่แนวทางปฏิบัติในการตรวจจับและปิดใช้งานมัลแวร์ที่สมจริง
[การตรวจจับทันที]
%WINDIR%\แคชไดรเวอร์\driver.cab
จากนั้นจากโฟลเดอร์อัปเดต OS ถ้ามี จากนั้นจาก %WINDIR%\system32\dllcache\ และจากเท่านั้น
%WINDIR%\ระบบ32\
บางทีระบบปฏิบัติการอาจบอกว่าไฟล์เสียหายและขอดิสก์พร้อมชุดแจกจ่ายไม่เห็นด้วย! ไม่เช่นนั้นจะหายและรูจะเปิดอีกครั้ง เมื่อคุณเสร็จสิ้นขั้นตอนนี้แล้ว คุณก็สามารถเริ่มแปลไวรัสเป็นภาษาท้องถิ่นได้ ดูว่ามีการใช้แอปพลิเคชันใดบ้าง การเชื่อมต่อเครือข่ายซึ่งเป็นโปรแกรมเล็กๆ ที่มีประโยชน์ที่เรียกว่า TCPView ช่วยได้ แต่เวิร์มบางตัวมีอัลกอริธึมการเข้ารหัสที่ดี หรือ เลวร้ายยิ่งกว่านั้นติดอยู่กับกระบวนการหรือปลอมตัวเป็นกระบวนการ กระบวนการปิดบังที่พบบ่อยที่สุดคือบริการ svhost.exe อย่างไม่ต้องสงสัย มีกระบวนการดังกล่าวหลายอย่างในตัวจัดการงานและสิ่งที่น่าทึ่งที่สุดคือคุณสามารถสร้างโปรแกรมที่มีชื่อเดียวกันได้จากนั้นแทบจะเป็นไปไม่ได้เลยที่จะแยกแยะว่าใครคือใคร WHO. แต่ก็มีโอกาสและขึ้นอยู่กับความเอาใจใส่ ก่อนอื่น ให้ดูในตัวจัดการงาน (หรือดีกว่านั้นในโปรแกรม กระบวนการสำรวจ) นักพัฒนาซอฟต์แวร์. สำหรับ svhost.exe น่าแปลกที่นี่คือ M$ แน่นอนว่าคุณสามารถเพิ่มข้อมูลเท็จลงในรหัสไวรัสได้ แต่มีความแตกต่างเล็กน้อยที่นี่ สิ่งแรกและอาจสำคัญคือไวรัสที่เขียนมาอย่างดีไม่มีตารางการนำเข้าหรือส่วนข้อมูล ดังนั้นไฟล์ดังกล่าวจึงไม่มีทรัพยากร จึงไม่สามารถเขียนลงในทรัพยากรของผู้สร้างได้ หรือคุณสามารถสร้างทรัพยากรได้ แต่จากนั้นขนาดไฟล์พิเศษจะปรากฏขึ้นซึ่งเป็นสิ่งที่ไม่พึงประสงค์อย่างยิ่งสำหรับผู้สร้างไวรัส ฉันยังต้องพูดเกี่ยวกับ svhost.exe นี่คือชุด บริการระบบและทุกการบริการก็คือ ไฟล์ที่กำลังรันอยู่ด้วยพารามิเตอร์บางอย่าง ดังนั้นในแผงควบคุม -> การดูแลระบบ -> บริการ
มีบริการ svhost.exe ที่โหลดทั้งหมด ฉันแนะนำให้คุณนับจำนวนบริการที่ทำงานอยู่และกระบวนการของ svhost.exe หากคุณไม่เห็นด้วย ทุกอย่างก็ชัดเจนแล้ว (อย่าลืมเปรียบเทียบจำนวน RUNNING บริการ) รายละเอียดเพิ่มเติมในภาคผนวก A
ควรสังเกตว่าเป็นไปได้ที่จะมีไวรัสในบริการฉันสามารถพูดสิ่งหนึ่งเกี่ยวกับเรื่องนี้มีรายการบริการบน MSDN และที่อื่น ๆ อีกมากมายบนเครือข่ายดังนั้นเพียงแค่ถ่ายและเปรียบเทียบจะไม่เป็น ปัญหา. หลังจากขั้นตอนเหล่านี้ คุณจะได้รับชื่อไฟล์ที่อาจเป็นไวรัส ฉันจะพูดคุยเพิ่มเติมอีกเล็กน้อยเกี่ยวกับวิธีระบุโดยตรงว่ามีไวรัสอยู่หรือไม่ แต่ตอนนี้เรามาดูประเด็นเพิ่มเติมกันดีกว่า ดังที่คุณคงทราบกันดีอยู่แล้วว่าสำหรับ ดำเนินการตามปกติระบบปฏิบัติการต้องการเพียง 5 ไฟล์ในไดเร็กทอรีราก ดังนั้นคุณจึงสามารถลบไฟล์อื่นๆ ทั้งหมดได้อย่างปลอดภัย เว้นแต่ว่าคุณจะสามารถติดตั้งโปรแกรมในไดเร็กทอรีรากได้ อย่างไรก็ตาม ไฟล์สำหรับการทำงานปกติมีดังนี้: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
ไม่ควรมีอะไรเพิ่มเติม หากมีและคุณไม่รู้ว่ามันมาจากไหน ให้ไปที่บท [การวิเคราะห์โดยละเอียด] นอกจากนี้เรายังจะดูการแนบกับกระบวนการในบท [การวิเคราะห์โดยละเอียด] และตอนนี้เรามาพูดถึงการทำงานอัตโนมัติกันดีกว่า ตามกฎแล้วจะต้องโหลดไวรัสเมื่อระบบเริ่มทำงาน ดังนั้น ให้ดูที่คีย์รีจิสทรีต่อไปนี้สำหรับ โปรแกรมที่น่าสงสัย. (และหากคุณพบไวรัสแล้ว ให้ค้นหาชื่อไฟล์ทุกที่ในรีจิสทรีแล้วลบออก):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ส่วนประกอบ HKLM\SOFTWARE\Microsoft\Active Setup\Installed
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer รองObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ทั้งหมดนี้มีการพูดถึงเกี่ยวกับการตรวจจับเวิร์มธรรมดาๆ แน่นอนว่าคำนวณให้ดี ไวรัสที่ซ่อนอยู่ยาก. ฉันใช้เวลาประมาณ 10 นาทีในการตรวจพบเวิร์มนี้และปิดการใช้งาน แน่นอนว่า ฉันรู้ว่าจะต้องดูที่ไหน สิ่งนี้ทำให้งานง่ายขึ้น อย่างไรก็ตาม มันเป็นไปได้ที่จะตรวจจับแบ็คดอร์ที่ดี คีย์ล็อกเกอร์ ไวรัสซ่อนตัว หรือเพียงแค่ไวรัสที่ใช้การสกัดกั้นการเรียกใช้ฟังก์ชัน API ระบบไฟล์(จากนั้นไวรัสจะกลายเป็นสิ่งที่มองไม่เห็นอย่างแท้จริง) โดยทั่วไปแล้วไวรัสแบบสตรีมมิ่งมีความแตกต่างหลายประการ แต่มีการสร้างสรรค์ดังกล่าวน้อยมาก ปัจจุบันมีผู้สร้างไวรัสจริงเพียงไม่กี่ราย มันน่าหงุดหงิด... ฉันจะพยายามพูดถึงพวกเขาในบทความต่อไปนี้ ตอนนี้เรามาดูกันดีกว่า สปายแวร์หรือที่ชนชั้นกระฎุมพีเรียกพวกเขาว่า SpyWare ผมจะอธิบายอีกครั้งโดยใช้ตัวอย่างสายลับที่ผมจับได้ด้วยตัวเอง เพื่อว่าคำพูดของผมจะได้ไม่ดูเหมือนเป็นจินตนาการที่ว่างเปล่า
ฉันจะเริ่มต้นเรื่องราวของฉันกับสายลับที่พบมากที่สุด ในนิตยสารชื่อดังเล่มหนึ่ง โปรแกรมเมอร์ที่ดีเรียกอย่างถูกต้องว่าหมัดลา สายลับที่ง่ายที่สุดมักจะซ่อนอยู่หลังแถบเครื่องมือที่ดูไร้เดียงสา รู้ว่าหากคุณจู่ๆ จู่ๆ ก็มีเรื่องเกิดขึ้น ปุ่มใหม่หรือแถบค้นหาในเบราว์เซอร์แล้วพิจารณาว่าคุณกำลังถูกจับตามอง มองเห็นได้ชัดเจนมากหากคุณ หน้าแรกเบราว์เซอร์ ไม่มีอะไรจะพูดที่นี่ แน่นอน โปรดยกโทษให้ฉันสำหรับคำที่ไม่ถูกต้องบางประการ ไวรัสที่เปลี่ยนหน้าเริ่มต้นในเบราว์เซอร์ไม่จำเป็นต้องเป็นสายลับ อย่างไรก็ตาม ตามกฎแล้ว ในกรณีนี้ ให้เราจัดประเภทไวรัสเหล่านั้นว่าเป็นสายลับในบทความนี้ มาดูตัวอย่างชีวิตตอนที่ผมมาทำงานเห็นแถบค้นหาหน้าตาแปลกๆ ในบราวเซอร์ บนคอมพิวเตอร์เครื่องหนึ่ง พอถามว่ามาจากไหน ก็ไม่เคยได้รับอะไรเลย ฉันต้องคิดออกเอง สายลับสามารถเข้าสู่ระบบได้อย่างไร? มีหลายวิธีตามที่คุณสังเกตเห็นแล้วว่าเรากำลังพูดถึงอยู่ อินเทอร์เน็ตเอ็กซ์พลอเรอร์ความจริงก็คือวิธีการทั่วไปที่สุดที่ไวรัสจะเจาะระบบผ่านเบราว์เซอร์คือผ่านการใช้งานอย่างแม่นยำ เทคโนโลยีแอคทีฟเอ็กซ์เทคโนโลยีได้รับการอธิบายอย่างเพียงพอแล้วและฉันจะไม่อยู่พิจารณาอีกต่อไป คุณยังสามารถแทนที่หน้าเริ่มต้นได้ เช่น ด้วยสคริปต์ Java แบบธรรมดาที่อยู่บนหน้านั้น ด้วย javascript เดียวกัน คุณสามารถอัปโหลดไฟล์และดำเนินการบนระบบที่มีช่องโหว่ได้ การเปิดตัวโปรแกรมซ้ำ ๆ สำหรับการดูภาพจากไซต์ที่ต้องชำระเงินซึ่งมีแนวโน้มที่รู้จักกันดีใน 98% ของกรณีนี้มีมัลแวร์ เพื่อทราบว่าจะต้องดูที่ไหน ฉันจะบอกว่ามีสามวิธีที่พบบ่อยที่สุดในการระบุตำแหน่งสายลับและทำงานกับเครื่องของเหยื่อ
อย่างแรกคือรีจิสทรีและไม่มีอะไรเพิ่มเติมไวรัสอาจอยู่ในการเริ่มต้นหรืออาจไม่ปรากฏบนคอมพิวเตอร์เลย แต่มีเป้าหมายเดียว - เพื่อแทนที่หน้าเริ่มต้นของเบราว์เซอร์ผ่านรีจิสทรี หากไวรัสหรือสคริปต์แทนที่หน้าเริ่มต้นเพียงครั้งเดียวก็ไม่มีคำถามคุณเพียงแค่ต้องล้างคีย์นี้ในรีจิสทรี แต่ถ้าหลังจากทำความสะอาดแล้วหลังจากนั้นครู่หนึ่งคีย์ก็ปรากฏขึ้นอีกครั้งแสดงว่าไวรัสกำลังทำงานและเข้าถึงอย่างต่อเนื่อง รีจิสทรี หากคุณมีประสบการณ์ทำงานกับดีบักเกอร์เช่น SoftIce คุณสามารถตั้งค่าเบรกพอยต์ในการเข้าถึงรีจิสทรี (bpx RegSetValueA, bpx RegSetValueExA) และตรวจสอบว่าโปรแกรมใดนอกเหนือจากโปรแกรมมาตรฐานที่เข้าถึงรีจิสทรี ต่อไปในเชิงตรรกะ อย่างที่สองคือตัวดักเหตุการณ์ของระบบที่เรียกว่า hooks โดยทั่วไปแล้ว hooks จะถูกใช้มากกว่าในคีย์ล็อกเกอร์ และเป็นไลบรารีที่ตรวจสอบและเปลี่ยนแปลงหากเป็นไปได้ ข้อความระบบ. โดยปกติแล้วจะมีโปรแกรมอยู่แล้วและมีไลบรารี่แนบอยู่ด้วย ดังนั้นการสำรวจ โมดูลหลักโปรแกรมคุณจะไม่ได้รับอะไรที่น่าสนใจ
เพิ่มเติมเกี่ยวกับเรื่องนี้และ วิธีการถัดไปดูบทด้านล่างสำหรับการวิเคราะห์โดยละเอียด
และสุดท้าย วิธีที่สามคือการแนบห้องสมุดของคุณ โปรแกรมมาตรฐานระบบปฏิบัติการ เช่น explorer.exe และ iexplorer.exe กล่าวอีกนัยหนึ่งคือการเขียนปลั๊กอินสำหรับโปรแกรมเหล่านี้ มีสองวิธีอีกครั้ง นี่คือการแนบโดยใช้ BHO (Gorlum เขียนเกี่ยวกับวิธีการแนบไฟล์เอง โดยใช้โอกาสนี้ทักทายและชื่นชมเขา) และเพียงแค่ฝังไลบรารีของคุณลงในไฟล์ปฏิบัติการ อย่างที่ฉันเข้าใจความแตกต่างก็คือ Browser Helper Object ได้รับการอธิบายและเสนอโดยบริษัท M$ เอง และใช้เป็นปลั๊กอินสำหรับเบราว์เซอร์ และการใช้งานไลบรารีก็ไม่ใช่ปลั๊กอินมากนัก แต่เป็นโปรแกรมที่มีในตัวเองและชวนให้นึกถึงมากกว่า ไฟล์ไวรัสปีที่แล้ว
สำหรับการฝึกอบรมทั่วไป ฉันจะจัดเตรียมคีย์รีจิสทรีไว้ให้คุณซึ่งสามารถลงทะเบียนสินค้าที่ต่ำกว่ามาตรฐานได้ ในรูปแบบของแถบเครื่องมือ ปุ่ม และหน้าเริ่มต้นของเบราว์เซอร์
หน้าแรก
พารามิเตอร์ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage
พารามิเตอร์ HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main StartPage (S-1-5-21-.... คีย์นี้อาจแตกต่างกันในเครื่องอื่น)
การลงทะเบียนวัตถุ เช่น ปุ่ม แถบเครื่องมือ ฯลฯ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper วัตถุ\
นี่คือที่ที่ลงทะเบียน "ผู้ช่วยเหลือ" ทั้งหมด และหากคุณไม่มี คีย์ควรจะว่างเปล่า ถ้าไม่ว่างเปล่า ให้ลบออก
ดังนั้นหากคุณไม่โอเคกับคีย์เหล่านี้ และต้องการทราบรายละเอียดเพิ่มเติม ให้พิจารณาเพิ่มเติม
[มองหาสิ่งที่ดีกว่า]
เนื่องจากในขณะที่เขียนบทความนี้ ฉันต้องการทำให้ทุกคนเข้าใจได้ บทนี้อาจดูเหมือนเข้าใจยากสำหรับบางคน แต่ฉันพยายามทำให้ทุกอย่างง่ายขึ้นอย่างดีที่สุด ฉันจะไม่อธิบายสถาปัตยกรรมของไฟล์ PE ให้คุณฟัง แม้ว่าเราจะพูดถึงมันก็ตาม มีคู่มือที่มีรายละเอียดอีกมากมายบนอินเทอร์เน็ต และ Iczelion ก็เขียนเกี่ยวกับไฟล์ PE ได้ดี สักวันหนึ่งฉันก็จะอธิบายมันเหมือนกัน
ดังนั้น ในการเริ่มต้นการวิเคราะห์โดยละเอียด เราจำเป็นต้องมีเครื่องมือบางอย่าง ฉันใช้ในกรณีนี้และแนะนำให้ใช้ PETools โดย NEOx และ PEiD (โดยทั่วไปคุณสามารถใช้เพียง Soft Ice เท่านั้น แต่จะดีกว่า เครื่องมือเพิ่มเติมใช่ มันง่ายกว่า สำหรับผู้กลับรายการ ฉันจะทราบว่าตอนนี้เราจะพูดถึงการดูตารางการนำเข้าและแพ็คเกจไฟล์ ดังนั้นอย่าสนใจความวิปริตที่คุณกำลังจะได้เห็น)
ซึ่งหมายความว่าอย่างที่ฉันพูดไปแล้วมีกรณีที่แถบค้นหาและหน้าเริ่มต้นปรากฏขึ้นในเบราว์เซอร์โดยไม่ได้ตั้งใจ หลังจากตรวจสอบรีจิสทรี ฉันไม่พบการเปลี่ยนแปลงใดๆ ในหน้าสถิติ และไม่พบการลงทะเบียนปลั๊กอินในเบราว์เซอร์ เมื่อตรวจสอบอย่างใกล้ชิดก็พบว่า เส้นที่กำหนดการค้นหา (แถบเครื่องมือจะง่ายกว่า) ปรากฏในหน้าต่างระบบปฏิบัติการทั้งหมด สิ่งนี้ได้เปลี่ยนแปลงสาระสำคัญของเรื่องไปเล็กน้อยแล้ว ฉันคิดว่ามีสายลับสองคนซึ่งเป็นอิสระจากกัน กำลังทำเช่นนี้ และเกิดขึ้นโดยวิธีการแทรกซึม ไลบรารีแบบไดนามิก. ในเวลาเดียวกันจำเป็นต้องแยกแยะว่าหากแถบเครื่องมืออยู่ในเบราว์เซอร์เท่านั้นหมายความว่ามันถูกฝังอยู่ในกระบวนการ iexplorer.exe แต่เรามีมันทุกที่ดังนั้นจึงจำเป็นต้องตรวจสอบใน explorer อดีต ฉันเริ่มตรวจสอบเบราว์เซอร์ ในการทำเช่นนี้ ฉันเปิดตัว PETools และเพียงแค่ดูว่าเบราว์เซอร์ใช้ไลบรารีใดบ้าง ฉันโชคดีเมื่อต้องเผชิญหน้ากับผู้สร้างไวรัสที่ไม่ระมัดระวังโดยมีฉากหลังเป็นฉากหลัง ไลบรารีระบบจาก %SYSTEMROOT% มี smt.dll บางตัวซึ่งมีเส้นทางไปที่ไหนสักแห่งใน TEMP รีบูทในเซฟโหมดและลบไลบรารี่นี้ และทุกอย่างเรียบร้อยดี สายลับก็ถูกฆ่าตาย สิ่งที่เหลืออยู่คือการเรียก PETools อีกครั้ง คลิกขวาที่กระบวนการของเราและสร้างไฟล์ใหม่ นี่เป็นกรณีที่ง่ายที่สุดในการฝึกฝนของฉัน ไปที่อันถัดไปค้นหาและฆ่าแถบเครื่องมือ ในทำนองเดียวกัน ฉันดูกระบวนการ explorer.exe และไม่พบสิ่งที่น่าประทับใจ จากนี้มีสองตัวเลือก: ฉันไม่รู้จักห้องสมุดทั้งหมดด้วยใจและแถบเครื่องมือหายไปในหมู่พวกเขาหรือฉันไม่มีความรู้ในการค้นหามัน โชคดีตัวแรกออกมา แต่แล้วเราจะแยกแยะห้องสมุดจริงจากห้องสมุดปลอมได้อย่างไร? ฉันจะบอกคุณแล้วคุณจะเข้าใจเอง ดังที่คุณทราบ ผู้ผลิตไวรัสกำลังไล่ตามการย่อขนาดและการเข้ารหัสโค้ด นั่นคือตามกฎแล้วจะไม่มีแถบเครื่องมือมากกว่าหนึ่งแถบ แบบฟอร์มเปิดประการแรก รหัสสามารถลดลงได้ ซึ่งหมายความว่าจำเป็น และประการที่สอง หากมีใครบางคน (โดยปกติจะไม่ใช่โปรแกรมป้องกันไวรัส แต่เป็นคู่แข่ง) ค้นพบ ห้องสมุดนี้ดังนั้นรหัสที่ไม่ได้เข้ารหัสจะง่ายกว่าสำหรับเขาที่จะเข้าใจ ดังนั้นเราจึงเอา PEiD และผลิต สแกนมวลห้องสมุดที่นำเข้า ไลบรารีจาก Microsoft เขียนโดยธรรมชาติด้วย Visual C++ และไม่ได้รวมแพ็กเกจไว้ด้วยสิ่งใดเลย ดังนั้นหากเราเห็น (และฉันเพิ่งเห็น seUpd.dll ที่น่าสงสัยซึ่งแพ็กเกจด้วย UPX) ไลบรารีที่แพ็กเกจหรือเข้ารหัส แสดงว่า 99% ของเวลาทั้งหมดเป็นเช่นนี้ กำลังมองหา ไม่ว่าเธอจะตรวจสอบหรือไม่นั้นง่ายมากก็ย้ายไปที่ โหมดปลอดภัยและเห็นผล แน่นอน คุณสามารถแกะมันออกมา ดูรายการการออกแบบ และคิดว่ามันทำอะไรได้บ้าง แต่อย่าไปพูดถึงมันเลย หากคุณไม่พบไลบรารีแบบแพ็กเกจ การใช้ตัวแก้ไขทรัพยากรเช่น Restorator เพื่อดูเวอร์ชันของไฟล์ก็มีประโยชน์ ดังที่ได้กล่าวไปแล้วว่าไลบรารีทั้งหมดจาก M$ ได้เขียนไว้ที่นั่น นี่คือจุดที่ผู้ผลิตไวรัสทำผิดพลาด พวกเขาควรละอายใจที่เขียนไวรัสประเภทนี้เลย สุดท้ายนี้ ฉันอยากจะทราบว่าไลบรารี *.dll ไม่สามารถฝังอยู่ในกระบวนการได้ มีบางอย่างเช่นนี้ใน Windows OS แอปพลิเคชั่นที่มีประโยชน์เช่น rundll32.exe และฉันสามารถเรียกใช้ไลบรารีใด ๆ โดยใช้กระบวนการนี้ได้ และในขณะเดียวกันก็ไม่จำเป็นต้องเขียน rundll32.exe myspy.dll เมื่อเริ่มต้น เพียงเขียนสิ่งนี้ลงในไฟล์ที่ติดไวรัสก็เพียงพอแล้ว จากนั้นคุณจะเห็นเฉพาะไฟล์ของคุณเอง (ไฟล์ที่ติดไวรัสซึ่งไม่น่าจะตรวจพบโดยโปรแกรมป้องกันไวรัส) และกระบวนการ rundll32.exe และไม่มีอะไรอื่นอีก จะทำอย่างไรในกรณีเช่นนี้? ที่นี่เราจะต้องเจาะลึกลงไปในโครงสร้างของไฟล์และระบบปฏิบัติการ ดังนั้นเราจะปล่อยให้สิ่งนี้อยู่นอกขอบเขตของบทความนี้ เกี่ยวกับการบรรจุภัณฑ์/การเข้ารหัสของไวรัส สิ่งนี้ไม่เพียงแต่ใช้กับห้องสมุดเท่านั้น แต่ยังรวมถึงทั้งหมดด้วย ไฟล์ระบบ. ในข้อความที่น่ายินดีนี้ ฉันต้องการจบส่วนหลักของบทความ มีการเขียนไว้มากมาย แต่นี่เป็นเพียง 1% ของวิธีการตรวจจับทั้งหมด วิธีการของฉันอาจไม่ดีที่สุด แต่ฉันใช้เองและได้ผลค่อนข้างมาก (ไม่ใช่ในคอมพิวเตอร์ของฉัน) ถ้าเป็นไปได้ ถ้าเป็นไปได้ ฉันจะเขียนบทความต่อเกี่ยวกับมาโครไวรัส คีย์ล็อกเกอร์ และแบ็คดอร์ โดยสรุปเกี่ยวกับสิ่งที่ฉันพบแล้ว
[กิตติมศักดิ์]
ฉันอยากจะแสดงความขอบคุณต่อทุกคนที่ฉันสื่อสารด้วยเพื่อการดำรงอยู่
และถึงผู้คนที่มีอิทธิพลต่อฉันและชี้นำฉันไปสู่เส้นทางที่ถูกต้องด้วย:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, อุปถัมภ์ ฯลฯ
[ภาคผนวก ก]
รายการบริการระบบ svhost.exe (WinXP)
DHCP clientvchost.exe -k netsvcs
ไคลเอ็นต์ DNS svchost.exe -k NetworkService
อัปเดต svchost.exe -k netsvcs โดยอัตโนมัติ
การเข้าสู่ระบบรอง svchost.exe -k netsvcs
ตัวจัดการดิสก์แบบลอจิคัล svchost.exe -k netsvcs
การเปิดตัวเซิร์ฟเวอร์ DCOM กระบวนการ svchost -k DcomLaunch
เครื่องมือการจัดการ Windows svchost.exe -k netsvcs
เปลี่ยนไคลเอ็นต์การติดตามลิงก์ svchost.exe -k netsvcs
โมดูล รองรับเน็ตไบออสผ่าน TCP/IP svchost.exe -k LocalService
เบราว์เซอร์คอมพิวเตอร์ svchost.exe -k netsvcs
กำหนดฮาร์ดแวร์เชลล์ svchost.exe -k netsvcs
เวิร์กสเตชัน svchost.exe -k netsvcs
เซิร์ฟเวอร์ svchost.exe -k netsvcs
บริการการคืนค่าระบบ svchost.exe -k netsvcs
บริการ Windows Time svchost.exe -k netsvcs
บริการบันทึกข้อผิดพลาด svchost.exe -k netsvcs
บริการเข้ารหัส svchost.exe -k netsvcs
ช่วยเหลือและสนับสนุน svchost.exe -k netsvcs
หัวข้อ svchost.exe -k netsvcs
ประกาศของ เหตุการณ์ของระบบ svchost.exe -k netsvcs
การเรียกขั้นตอนระยะไกล (RPC) svchost -k rpcss
ศูนย์ความปลอดภัย svchost.exe -k netsvcs
ผู้จัดการการเชื่อมต่ออัตโนมัติ การเข้าถึงระยะไกล svchost.exe -k netsvcs
โปรโตคอล HTTP SSLsvchost.exe -k HTTPFilter
ส่วนขยายไดรเวอร์ WMI svchost.exe -k netsvcs
บริการอัพโหลดรูปภาพ (WIA) svchost.exe -k imgsvc
บริการจัดเตรียมเครือข่ายvchost.exe -k netsvcs
บริการ หมายเลขซีเรียลอุปกรณ์สื่อแบบพกพา
svchost.exe -k netsvcs
ความเข้ากันได้ การสลับอย่างรวดเร็วผู้ใช้
svchost.exe -k netsvcs
ที่เก็บข้อมูลแบบถอดได้ svchost.exe -k netsvcs
อุปกรณ์ PnP ทั่วไป Hostsvchost.exe -k LocalService
การจัดการแอปพลิเคชัน svchost.exe -k netsvcs
พื้นหลัง Intelligent Transfer Servicesvchost.exe -k netsvcs
ตัวจัดการการเชื่อมต่อการเข้าถึงระยะไกลsvchost.exe -k netsvcs
การเชื่อมต่อเครือข่ายsvchost.exe -k netsvcs
ระบบเหตุการณ์ COM+svchost.exe -k netsvcs
บริการการค้นพบ SSDP svchost.exe -k LocalService
บริการ ตำแหน่งเครือข่าย(NLA) svchost.exe -k netsvcs
บริการเทอร์มินัลsvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
การเข้าถึงอุปกรณ์ HIDssvchost.exe -k netsvcs
การกำหนดเส้นทางและการเข้าถึงระยะไกล svchost.exe -k netsvcs
ผู้ประกาศ svchost.exe -k LocalService
ตัวกำหนดเวลางาน vchost.exe -k netsvcs
บริการส่งข้อความ svchost.exe -k netsvcs
----------- รวมหกกระบวนการเมื่อบริการทั้งหมดกำลังทำงาน -------
เนื้อหา
เมื่อคอมพิวเตอร์เริ่มบู๊ต ให้กดปุ่ม F8. และเลือก "Safe Mode พร้อมการสนับสนุน" บรรทัดคำสั่ง" และกด "Enter"
เมื่อการดาวน์โหลดเสร็จสิ้นหน้าต่าง "ผู้ดูแลระบบ: cmd.exe" จะปรากฏขึ้นโดยที่ป้อนโดยใช้แป้นพิมพ์ "regedit.exe". กด "Enter" อีกครั้งและไปที่ "ตัวแก้ไขรีจิสทรี"
ในทะเบียนบ้าน การลงทะเบียน Windowsมีอยู่ ข้อมูลระบบและข้อมูลเกี่ยวกับ เริ่มต้นอัตโนมัติโปรแกรมเมื่อระบบปฏิบัติการเริ่มทำงาน นี่คือที่ที่เราจะพยายามค้นหาร่องรอยของไวรัสแบนเนอร์ของเรา
สำหรับการทำงานปกติของระบบปฏิบัติการ จำเป็นต้องมีไฟล์เพียง 5 ไฟล์ในไดเร็กทอรีราก:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
ปราศจาก การวิเคราะห์โดยละเอียดคุณไม่สามารถลบสิ่งใดออกจากรีจิสทรีได้ คุณต้องแน่ใจ 100% ว่านี่เป็นไวรัส ไม่ใช่โปรแกรมที่ดาวน์โหลดไปยังโฟลเดอร์รูท ไวรัสจะต้องถูกโหลดเมื่อระบบเริ่มทำงาน ตามกฎแล้ว กระบวนการนี้จะเกิดขึ้นระหว่างการสตาร์ทอัตโนมัติ ดังนั้นเราจึงดูที่คีย์รีจิสทรีต่อไปนี้สำหรับโปรแกรมที่น่าสงสัย (และหากคุณพบไวรัสแล้ว ให้ค้นหาชื่อไฟล์ทุกที่ในรีจิสทรีแล้วลบออก):
ตั้งแต่เริ่มแรก เรามองหาไวรัสในห่วงโซ่:
\WindowsNT\CurrentVersion\Winlogonค้นหารายการในรายการ เปลือก(XP) Windows7 ไม่มีส่วนนี้
มาดูกัน: ค่าพารามิเตอร์ตามค่าเริ่มต้นควรเป็น Explorer.exeถ้ามีอย่างอื่นเราจะลบทิ้ง
ตอนนี้เราพบรายการ: ผู้ใช้(แสดงอยู่ในข้อใด เวอร์ชันของ Windows). ค่าของรายการนี้ต้องเป็น C:\Windows\system32\userinit.exeทุกอย่างที่มีอยู่ยกเว้นรายการนี้จะถูกลบออก โดยปกติแล้วหากไม่ได้ติดตั้งระบบปฏิบัติการบนไดรฟ์ C การบันทึกจะแตกต่างออกไป
ขั้นตอนต่อไปคือการแก้ไขส่วนเริ่มต้น วิ่ง .
เราค้นหาและเปิดห่วงโซ่: HKEY_CURRENT_USER\ซอฟต์แวร์\Microsoft
\Windows\CurrentVersion\Run (ส่วนนี้ใช้ได้กับ Windows 7) ในกระทู้นี้ คุณสามารถลบทุกอย่างได้ ยกเว้นซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์ที่จำเป็นสำหรับงานของคุณ (ยูทิลิตี้สำหรับเครื่องพิมพ์, Skype, สแกนเนอร์)
ห่วงโซ่ถัดไป: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Runที่นี่เราทำเช่นเดียวกับในย่อหน้าก่อนหน้า
คุณอาจต้องแทนที่ไฟล์ "เจ้าภาพ"ซึ่งอยู่ที่: Open Start" และป้อน: %systemroot%\system32\drivers\etc
เราคัดลอกมาตรฐานจากเว็บไซต์ของนักพัฒนา http://support.microsoft.com/kb/972034/ru และเปลี่ยนชื่ออันเก่าเป็น hosts.old
คลิกขวาเข้าไป ที่ว่างในโฟลเดอร์ %WinDir%\system32\drivers\etc
เลือกใหม่ คลิกองค์ประกอบ เอกสารข้อความให้ป้อนชื่อโฮสต์/เปิดชื่อใหม่ ไฟล์โฮสต์ในโปรแกรมแก้ไขข้อความ Notepad และคัดลอกข้อความที่บันทึกไว้จากไซต์ไปยังไฟล์ เรารีบูทคอมพิวเตอร์
บางครั้งมันเกิดขึ้นโดยที่คุณไม่จำเป็นต้องค้นหา application.exe ในรีจิสทรีของ Windows แต่ก็เพียงพอแล้วที่จะดำเนินการ ตรวจสอบอย่างรวดเร็ว"Security Esseentiats" รีบูตและเมื่อคอมพิวเตอร์เปิดขึ้นหน้าต่างจะปรากฏขึ้นเพื่อระบุชื่อของโปรแกรมเช่น 2088322.exe ซึ่ง ผู้พิทักษ์หน้าต่างไม่สามารถรับรู้ได้ คุณจะต้องเขียนค่านี้ใน "Start" - "ค้นหาโปรแกรมและไฟล์" จากนั้นใช้งาน ปุ่มขวาเมาส์เพื่อค้นหาที่อยู่ของแบนเนอร์นี้และลบทิ้งลงถังขยะก่อนแล้วจึงลบทิ้งอย่างถาวร
หากคุณต้องการตรวจสอบรีจิสทรี คอมพิวเตอร์ที่ทำงาน, เช่น. เมื่อระบบปฏิบัติการโหลดเต็มแล้ว ไม่จำเป็นต้องใช้ "Safe Mode" เพียงพิมพ์ในเมนู "Start" คำสั่ง regeditและคลิกที่ไฟล์ที่เปิดขึ้น จากนั้น “ตัวแก้ไขรีจิสทรี” จะเปิดขึ้นต่อหน้าคุณ
แต่จะทำอย่างไรถ้าไม่สามารถบู๊ตระบบปฏิบัติการในเซฟโหมดได้ จะลบแบนเนอร์และปลดล็อค Windows ได้อย่างไร? ในกรณีนี้เราจำเป็นต้องหันไปใช้ หมายถึงบุคคลที่สามคุณไม่สามารถผ่านไปได้ด้วยคอมพิวเตอร์เพียงเครื่องเดียว ลองพิจารณาให้มากที่สุด สาธารณูปโภคที่ดีที่สุดวันนี้ซึ่งจะช่วยให้เราปลดล็อคคอมพิวเตอร์ของเรา: “วิธีลบแบนเนอร์หาก Windows ไม่บูตในเซฟโหมด”
ผู้ชายคนนี้
ที่สุด ไวรัสที่น่ากลัว
บนโลก.
"ไม่เหมาะสม"
เมื่อไม่กี่ปีที่ผ่านมา มีคนทำนายว่าในอีกไม่กี่ปีข้างหน้า การเดินบนอินเทอร์เน็ตจะกลายเป็นอันตรายพอๆ กับการเดินบนถนนในเมืองที่มืดมิด ทุกวันนี้ ไวรัสคอมพิวเตอร์กลายเป็นเรื่องปกติ และข้อความนี้ก็เป็นจริง
พวกมันถูกเรียกว่าไวรัส โปรแกรมคอมพิวเตอร์ที่รบกวนการทำงานที่มีประสิทธิผลของผู้ใช้บนคอมพิวเตอร์ เมื่อคอมพิวเตอร์ติดไวรัส ไวรัสจะถูกเขียนลงในรีจิสทรีของระบบปฏิบัติการเกือบทุกครั้ง ไวรัสคอมพิวเตอร์อาจทำให้เกิด: การปิดเครื่องหรือรีบูตคอมพิวเตอร์ ระบบปฏิบัติการช้าลง ความเสียหายและการลบไฟล์ การโจมตีเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ต ปริมาณการใช้งานคอมพิวเตอร์ที่เพิ่มขึ้น และการกระทำอื่น ๆ อีกมากมาย
การดำเนินการนี้ต้องใช้หลายขั้นตอน ต้องการการทำความสะอาด แกะจากไวรัส ลบไวรัสออกจากฮาร์ดไดรฟ์ของคุณ และลบลิงก์ไปยังไวรัสออก รีจิสทรีหน้าต่าง. หลังจากนั้นคุณจะต้องติดตั้ง โปรแกรมป้องกันไวรัสคุณภาพสูงหรือซับซ้อน การป้องกันไวรัส. สำหรับ การป้องกันเต็มรูปแบบก่อนอื่นคอมพิวเตอร์ของคุณต้องมีการซ่อมแซมรีจิสทรีอย่างถูกต้อง การซ่อมแซมและวิเคราะห์รีจิสทรีดำเนินการโดยโปรแกรมต่อไปนี้:
AVPTool จาก Kaspersky Lab หรือ Dr. เว็บ เคียวอิทจากเว็บหมอ.
การเลือกโปรแกรมที่จะสแกนหาไวรัสในคอมพิวเตอร์ของคุณขึ้นอยู่กับโปรแกรมป้องกันไวรัสที่ติดตั้งในคอมพิวเตอร์ของคุณ คุณควรตรวจสอบกับโปรแกรมป้องกันไวรัสของบุคคลที่สาม นั่นคือหากคุณติดตั้ง Kaspersky ไว้คุณจะต้องตรวจสอบกับ Doctor Web เมื่อตรวจสอบ โปรแกรมป้องกันไวรัสของบุคคลที่สามคุณต้องหยุดการป้องกันโปรแกรมป้องกันไวรัสหลักชั่วคราว
เมื่อต้องการทำเช่นนี้ คอมพิวเตอร์จะต้องบูตเข้าสู่เซฟโหมด หลังจากนั้นให้เปิดหนึ่งในยูทิลิตี้ที่ดาวน์โหลดมา หากตรวจพบไวรัสก็ควรรักษาให้หายขาด หรือหากไม่สามารถถ่ายโอนการรักษาได้ หรือลิงก์ในรีจิสทรี หลังจากนี้ ให้รีสตาร์ทคอมพิวเตอร์ตามปกติ
ตัดการเชื่อมต่ออินเทอร์เน็ตของคุณและปิดทุกอย่าง เปิดแอปพลิเคชัน. วิ่ง โปรแกรม AVZและอัพเดตฐานข้อมูลลายเซ็น จากนั้นทำการสแกนระบบ โปรแกรมจะเริ่มทำงานและแก้ไขลิงก์ในรีจิสทรีและลบไวรัสโดยอัตโนมัติ
คุณยังสามารถสแกนคอมพิวเตอร์ของคุณด้วยยูทิลิตี้อื่น HiJackThis เรียกใช้ HiJackThis ในฐานะผู้ดูแลระบบ และคลิกที่ปุ่ม “ทำการสแกนระบบและบันทึกไฟล์บันทึก”
เพื่อเพิ่มประสิทธิภาพระบบปฏิบัติการหลังจากนั้นมีหลายโปรแกรม ยูทิลิตี้จำนวนมากซ่อมแซมรีจิสทรีของคอมพิวเตอร์ลบออก ไฟล์ที่ไม่จำเป็นและการจัดเรียงข้อมูลฮาร์ดไดรฟ์
เมื่อทำงานกับการแก้ไขรีจิสทรี คุณต้องใช้ความระมัดระวังอย่างยิ่ง การเปลี่ยนแปลงที่ไม่ถูกต้องอาจทำให้ระบบปฏิบัติการทำงานผิดปกติและอาจเกิดปัญหาได้ นั่นคือเมื่อ การกระทำที่ผิดคอมพิวเตอร์อาจไม่บูต
