- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
3. Общие сведения
Протокол AVZ начинается с общих сведений о самой утилите и операционной системе. Сюда выводятся как дежурные сведения, так и некоторые диагностические сообщения – если для них есть повод, естественно.
Нормальный текстовый протокол начинается со строки
Протокол антивирусной утилиты AVZ версии X.XX
Все, что находится перед ним, является диагностическими сообщениями, которые требуют вашего внимания.
Например, часто встречается сообщение
Внимание !!! База поcледний раз обновлялась XX.XX.XXXX необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Пренебрегать обновлением баз не следует, поскольку вместе с базами обновляются и некоторые компоненты AVZ (скажем, Boot Cleaner). Если вы видите в протоколе это сообщение, рекомендуйте пользователю выполнить обновление.
Более серьезным является, к примеру, сообщение
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Как правило, это явный признак файлового инфектора, т.е. классического вируса, внедряющего свой код в исполняемые файлы. Сообщение свидетельствует о том, что исполняемый файл AVZ, вероятнее всего, был заражен.
В этом случае пользователю рекомендуется сначала прибегнуть к помощи полноценных антивирусов или универсальных утилит (уже упоминавшихся CureIt или AVPTool). Утилиту при этом желательно скачать на здоровый компьютер, скопировать на защищенный от записи носитель (типичный пример – CD / DVD) и принести на инфицированную машину. HJT и AVZ не способны лечить файлы, инфицированные классическими вирусами.
После начальной строки AVZ открывает протокол сканирования сообщением о дате и времени его начала:
Сканирование запущено в ХХ.ХХ.ХХХХ ХХ:ХХ:ХХ
Далее утилита отчитывается о состоянии баз:
Загружена база: сигнатуры - XXXXXX, нейропрофили - X, микропрограммы лечения - XX, база от XX.XX.XXXX XX:XX
Загружены микропрограммы эвристики: XXX
Загружены микропрограммы ИПУ: X
Загружены цифровые подписи системных файлов: XXXXX
Пояснение.
Нейропрофили обеспечивают работу нейросети – специализированной подсистемы, которую AVZ применяет как одно из средств детектирования кейлоггеров. Нейросеть AVZ позволяет оценивать похожесть файла на типовой перехватчик событий окон / клавиатуры / мыши и выражать ее в процентах.
ИПУ – искатель потенциальных уязвимостей. Эта подсистема осуществляет поиск настроек Windows, способных привести к ее компрометации.
После этого сообщается о состоянии эвристического анализатора и режима лечения:
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Вводная часть завершается данными о версии Windows, правах AVZ и состоянии Восстановления системы:
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
Обращайте внимание на версию Windows. Если у пользователя не установлен последний пакет обновлений для его версии, рекомендуйте ему установить таковой. Информация о восстановлении системы важна при лечении, об этом мы поговорим позже.