- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
5. Отложенное удаление файла
Отложенное удаление файла применяется автоматически сканером для удаления известных вредоносных программ. Отложенное удаление позволяет удалять файлы запущенных приложений, загруженных DLL или файлы, открытые с монопольным доступом.
AVZ выполняет отложенное удаление в два этапа:
1. Делается попытка удаления файла обычным способом. Если эта попытка успешна и файл удаляется, то отложенное удаление не применяется
2. Если удаление файла на шаге 1 было неуспешным, то файл регистрируется для отложенного удаления.
Имя файла можно ввести вручную, скопировать через буфер обмена или выбрать в диалоговом окне, которое вызывается при нажатии кнопки в правой части поля для ввода имени файла. В случае нажатия кнопки "ОК" выводится диалоговое окно с настройками параметров удаления файла.
Поддерживаются два режима удаления:
1. Обычное удаление указанного файла (производится при выборе опции "Удаление файлов"). Этот режим не рекомендуется применять
2. Удаление файла и эвристическая чистка ссылок на файл в системе. В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.
Меню «Сервис»: диспетчеры и менеджеры avz
В меню Сервис расположено большинство инструментов, составляющих AVZ как антивирусный пакет. Функционально они позволяют либо просто просматривать те или иные точки системы, либо также и управлять ими. В основном все встроенные инструменты имеют сходный интерфейс, который мы и опишем в этом разделе.
1. Общие характеристики диспетчеров и менеджеров avz
Все встроенные утилиты подключены к базе безопасных объектов AVZ. Опознанные по ней файлы выделяются в списках компонентов зеленым цветом, неизвестные файлы – черным цветом. Ряд диспетчеров подключен также к антируткиту и AVZPM; маскируемые или скрытые файлы выделяются в них красным цветом.
Большинство менеджеров позволяют производить какие-либо действия с объектами. Некоторые из них функционала управления не содержат, либо он ограничен; эти утилиты обеспечивают преимущественно просмотр определенной точки системы.
Фактически любой менеджер содержит следующие кнопки:
- «Обновить». Менеджеры отображают состояние системы на момент их вызова и не производят динамического обновления списков объектов (кроме случаев удаления объектов, завершения процессов и подобных действий непосредственно из самого менеджера). В связи с этим для обновления списка может применяться эта кнопка.
или - «Удалить» или «Завершить процесс». В большинстве менеджеров присутствует эта кнопка; она позволяет либо удалить из системы выделенный объект в списке, либо – в Диспетчере процессов – завершить работающий процесс.
- «Сохранить». Кнопка выводит данные менеджера в удобный для чтения HTML-протокол.
- «Копировать в карантин» и «Копировать в карантин все файлы, не опознанные как безопасные». Внешне кнопки одинаковы; обращайтесь к всплывающей подсказке, а также помните, что «Копировать в карантин» стоит в ряду первой. «Копировать в карантин» помещает копию выделенного в списке файла в папку Quarantine (принципы работы карантина см. выше). Внутренние настройки AVZ запрещают карантин файлов, опознанных как безопасные, поэтому при выделении «зеленого» элемента списка кнопка становится неактивна. Кнопка «Копировать в карантин все файлы, не опознанные как безопасные» осуществляет ту же операцию для всех «черных» элементов списка (т.е. не распознанных по базе безопасных).
- «Включить элемент» и «Выключить элемент». Еще одна неразлучная пара кнопок, но, в отличие от двух предыдущих, они взаимно исключают друг друга и не могут быть активны одновременно. «Выключение» элемента делает неактивной его прописку в реестре, предотвращая его последующий запуск; впоследствии при желании элемент можно «включить» вновь. Описанная выше кнопка «Удалить», напротив, уничтожает запись в реестре без возможности восстановления.
- «Снять дамп». Специфичная кнопка, характерная для некоторых менеджеров. C ее помощью можно произвести дампирование выделенного объекта, т.е. сохранить содержимое загруженного в оперативную память модуля на диск в виде файла.
- «Восстановить значение по умолчанию». Функция менеджера автозапуска. Эта кнопка доступна для системных ключей реестра, которые запрещены к удалению внутренними настройками AVZ в силу их необходимости для нормального функционирования системы. Тем не менее, malware может записывать себя в эти ключи для скрытого запуска; в таких случаях в процессе уничтожения следов вредоносного ПО вместо удаления инфицированного ключа применяется восстановление его исходного значения с помощью этой кнопки.