- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
Отображение задач, запланированных с помощью стандартного планировщика задач Windows. В таблице доступны следующие данные:
- имя и адрес запускаемого заданием файла
- имя задания
- состояние задания
- описание
- производитель (копирайт)
Образец строки из протокола:
Зачем эта таблица?
Известны случаи использования Планировщика задач для автоматического запуска вредоносных программ. В частности, Планировщик задач позволяет запускать приложения при старте Windows или при входе в систему, становясь таким образом вполне полноценной заменой традиционных ключей Run.
10) Настройки spi/lsp (данные Менеджера Winsock spi)
В этой таблице отображаются компоненты, зарегистрированные в качестве компонентов структуры Winsock – поставщиков пространства имен и поставщиков транспортных протоколов.
Для поставщиков пространства имен (NSP) доступны
- название поставщика
- состояние (статус)
- имя и адрес исполняемого файла
- описание
- идентификационный номер GUID
Поставщики транспортных протоколов (TSP, LSP) характеризуются
- названием поставщика
- именем и адресом исполняемого файла
- описанием
Образец строки из протокола:
Таблица сопровождается информацией о результатах автоматической проверки корректности настроек Winsock. В случае обнаружения несоответствий AVZ предупреждает о возможных проблемах сетевого подключения.
Зачем эта таблица?
Внедрение модуля в структуры Winsock позволяет вредоносному модулю не только автоматически запускаться, но и активно вмешиваться в процесс обмена данными между компьютером и сетью – фактически полностью контролировать таковой. Прибегнем к схеме работы Winsock, предложенной в справке AVZ, чтобы лучше понять это утверждение.
Winsock 2 имеет две “стороны” – API и SPI. Winsock API обеспечивает стандартные API-интерфейсы между Winsock и использующими его приложениями. SPI - это интерфейс между Winsock и поставщиками служб Winsock.
Поставщики Winsock бывают двух типов:
- поставщики пространства имен (NameSpace Providers, NSP), преобразующие дружественные пользователю имена в зависимые от протокола адреса. Классический пример – DNS, преобразующая дружественные имена вида www.somesite.com в IP-адреса вида 123.456.789.010;
- поставщики транспортных услуг (Transport Service Providers, TSP), предоставляющие функции установления связи, передачи данных, управления потоком, обработки ошибок и т.п. Поставщики транспортной службы бывают двух видов:
а) базовые (Base) поставщики реализуют конкретные детали сетевого транспортного протокола (типа TCP/IP), включая базовые сетевые функции протокола, такие как отправка и получение данных по сети.
б) многоуровневые (Layered) поставщики реализуют только высокоуровневые функции связи и нуждаются в базовом поставщике для фактического обмена по сети.
Схема отражает также тот факт, что в систему может быть установлено неограниченное количество компонентов Winsock SPI. Список используемых поставщиков хранится в специальной базе данных, которая размещена в реестре. Функции Winsock API позволяют программам не только получать списки NSP и TSP, но и регистрировать своих поставщиков.
С одной стороны, хранение списка поставщиков и их параметров в базе данных и наличие функции для управления этой базой позволяют любым приложениям устанавливать свои провайдеры SPI, расширяя возможности Winsock. При этом прикладной программе совершенно не обязательно знать с том, какие конкретно провайдеры SPI и как именно обеспечивают разрешение имен и обмен по сети. Получается универсальная система, и многие программы используют эти возможности - в списке провайдеров можно обнаружить брандмауэры, антивирусы, разнообразные антишпионские программы, утилиты для борьбы с рекламой, учета трафика и т.п.
С другой стороны, при помощи своего поставщика пространства имен вредоносная программа может отслеживать запросы на разрешение имени и вмешиваться в этот процесс. Возможно такое и на уровне поставщика транспорта – вредоносное ПО часто устанавливает свои Layered Service Providers - LSP.
Вот примерная схема одного из вариантов работы вредоносного NSP:
Неприятной особенностью Winsock является то, что при потере любой библиотеки, зарегистрированной в качестве поставщика SPI, или повреждении базы данных в реестре происходит нарушение работы Winsock, выражающееся обычно либо в потере сетевых подключений, либо в проблемах при работе с локальной сетью.
При обнаружении ошибки Winsock в частности и вся система Windows в целом не принимают никаких мер по ее ликвидации и не выдают никаких диагностических сообщений. Важно отметить, что переустановка системы "поверх" имеющейся не приводит к исправлению настройки SPI.