DmitryFedorov
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Замены в тексте: Категория=вкладка; ASEP=тчк.АвтЗап
Код: Глава 5
Autoruns
Я часто слышу такой вопрос: «Что это за штуки работают у меня на компьютере?» А за ним часто идет следующий: «Как убрать все это?» Windows — платформа с большими возможностями в плане расширения. Программисты могут писать не только приложения, которые пользователи запускают вручную, но и «более удобные» программы, которые запускаются автоматически, не утруждая пользователя выбором, нужно ли запускать их или нет. Достигают этого, используя видимые и невидимые функции Проводника, Internet Explorer и драйверов, управляющих оборудованием. Впрочем, нередко целесообразность автозапуска с точки зрения пользователя в лучшем случае сомнительна. Иногда это делается для удобства кого-то совершенно постороннего, при этом автоматически запускаемая программа действует во вред пользователю (такую программу называют вредоносной; см. главу 18).
Программы, запускающиеся автоматически, т.е. без вмешательства пользователя, ниже относятся к категории автозапуска. Сюда входят драйверы и службы, запускаемые при загрузке компьютера; приложения, утилиты и расширения оболочки, запускающиеся при входе пользователя в систему; расширения обозревателя, загружающиеся при запуске Internet Explorer, и не только. Вообще, в 32-разрядных версиях Windows более сотни мест в файловой системе и реестре, обеспечивающих автозапуск программ, а в x64версиях их еще больше. Эти места часто называют точками расширения для автозапуска (Autostart Extensibility Points, ASEP, тчк.АвтЗап).
Тчк.АвтЗап создавались с разумными и полезными целями. Например, если вы хотите, чтобы люди, с которыми вы общаетесь с помощью мгновенных сообщений, знали, когда вы в сети, удобен автозапуск IM-клиента при входе в систему. Многим пользователям нравятся поисковые панели и средства для просмотра PDF, ставшие частью Internet Explorer. Да и немалая часть самой Windows реализована в виде драйверов, служб и расширений Проводника, загружаемых через тчк.АвтЗап.
С другой стороны, тем же способом запускаются многочисленные пробные программы, которыми поставщики начиняют свои новые компьютеры, забивая область уведомлений панели задач. Так же создаются «полускрытые» процессы, которые помогают разработчикам программ быстрее запу(-стр-143)скать их приложения. Но нужны ли вам все эти процессы, отъедающие системные ресурсы? Кстати, почти любое вредоносное ПО использует тчк.АвтЗап, и почти все тчк.АвтЗап Windows используются той или иной вредоносной программой.
В Windows есть утилита Настройка системы (System Configuration) (msconfig.exe, рис. 5-1), позволяющая отследить некоторые точки автозапуска, но она показывает лишь небольшую их часть, а ее возможности ограничены. Кроме того, msconfig требует прав администратора даже для просмотра параметров. Значит, с помощью этой утилиты нельзя ни увидеть, ни отключить автозапуск программ, настроенный под записями пользователей, не входящих в группу Администраторы.
Рис. 5-1. Утилита MSConfig из Windows показывает очень ограниченный набор параметров автозапуска
Мы с Брюсом создали утилиту Autoruns, которая показывает столько точек автозапуска, сколько мы нашли, и позволяет отключать или удалять их. Сведения, предоставляемые этой утилитой, можно собрать и вручную, если вы знаете, в каких местах реестра и файловой системы их искать. Наша утилита автоматизирует эту задачу, проверяя большое число тчк.АвтЗап за считанные секунды и выявляя подозрительные точки, например, не имеющие цифровой подписи. Также мы разработали версию Autoruns для командной строки, AutorunsC. Она позволяет делать то же самое с помощью сценариев.
С помощью Autoruns или AutorunsC легко получить эталонный набор тчк.АвтЗап в системе, чтобы потом сравнивать с ним результаты новых проходов для обнаружения изменений и решения проблем. Многие компании используют Autoruns в своих системах управления изменениями для регистрации новых эталонных параметров после каждого обновлении образа рабочей системы.
Введение в Autoruns
Autoruns сразу после запуска начинает заполнять экран записями известных тчк.АвтЗап. Как показано на рис. 5-2, каждая подсвеченная строка представ(-стр-144)ляет тчк.АвтЗап со значком Regedit, если эта тчк.АвтЗап находится в реестре, или со значком папки, если тчк.АвтЗап ссылается на каталог файловой системы1. Ниже подсвеченной строки идут записи из данной тчк.АвтЗап. Каждая строка содержит имя записи автозапуска, описание, название издателя и путь к исполняемому файлу, а также значок этого файла. В каждой строке имеется флажок, позволяющий временно отключить запись. Панель в нижней части окна содержит сведения о выбранной записи, включая полную команду запуска. На вкладке Everything (Все), которая открывается при запуске Autoruns, отображаются все тчк.АвтЗап в системе; остальные 17 вкладок позволяют просматривать отдельные категории точек автозапуска, подробнее о них — ниже в этой главе.
Рис. 5-2. Главное окно Autoruns
В столбце Image Path (Путь к образу) указан полный путь к автоматически запускаемому файлу. В некоторых случаях имя этого файла идет первым в командной строке автозапуска. Если при автозапуске используется хост-процесс (такой как Cmd.exe, Wscript.exe, Rundll32.exe или Svchost. exe), в пути к образу будет указан запускаемый сценарий или DLL, а не файл хост-программы. Если запускаемый файл в указанном месте не обнаружен, в столбце Image Path будет текст File not found (Файл не найден).
Для файлов, содержащих сведения о версиях, таких как EXE и DLL, столбцы Description (Описание) и Publisher (Издатель) заполняются данными из полей Description (Описание) и Company Name (Название компании). Если цифровая подпись файла проверена, столбец Publisher (Издатель) будет отображать имя владельца соответствующего сертификата (см. ниже).
* Запланированные задачи (Scheduled Tasks) отображаются со значком папки, так как параметры конфигурации задач до Windows Vista хранились в папке %windir%\Tasks. В новой ОС Планировщик хранит эти сведения в разделе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache. (-стр-145)
Столбцы Description и Publisher остаются пустыми, если целевой файл не найден, если в сведениях о версиях нет полей Description и Company Name, и если сведений о версиях нет вообще (в случае сценариев так почти всегда и бывает).
Для того чтобы быстро найти точку, нажмите Ctrl+F и введите искомый текст — Autoruns выделит найденную строку, содержащую этот текст. Чтобы найти следующий подходящий элемент, нажмите F3. Чтобы скопировать выделенную строку в буфер обмена как текст, разделенный знаками табуляции, нажмите Ctrl+C.
Пока Autoruns сканирует систему, меню Options (Параметры) недоступно. Если требуется изменить параметры (см. ниже), отмените сканирование, нажав клавишу Esc. Изменение любых параметров в этом меню (кроме шрифта) вступит в силу при следующем сканировании. Изменив параметры, нажмите F5 или щелкните кнопку Refresh (Обновить) на панели инструментов, чтоб начать новое сканирование.
Отключение и удаление элементов автозапуска
Autoruns позволяет отключать и удалять элементы автозапуска. Элементы удаляются безвозвратно, так что удаляйте их, только если хотите навсегда отключить автозапуск приложения. Выберите элемент в списке и нажмите клавишу Del. Отменить удаление невозможно, поэтому перед удалением элемента появится запрос подтверждения.
Если отключить элемент, сняв флажок рядом с ним, Autoruns сохранит данные для восстановления этого элемента. Например, для тчк.АвтЗап из реестра Autoruns создает в исходном разделе подраздел AutorunsDisabled, в который копирует отключенный параметр, прежде чем удалить его. Windows не обрабатывает параметры этого подраздела, так что элементы из него запускаться не будут, но Autoruns будет отображать их как отключенные элементы автозапуска. Если снова установить флажок, элемент вернется на исходное место. Для тчк.АвтЗап, расположенных в файловой системе, таких как меню Пуск (Start), Autoruns создает скрытую папку AutorunsDisabled, в которую перемещает удаленные элементы.
Обратите внимание на то, что удаление или отключение элемента автозапуска предотвращает автоматический запуск этого элемента в будущем, но не завершает уже запущенные процессы.
Также учтите, что отключение элементов автозапуска, важных для загрузки, инициализации и восстановления системы может так испортить систему, что восстановить ее будет почти невозможно.
Autoruns и администраторские разрешения
Большинство тчк.АвтЗап находится в местах, к которым обычным пользователям разрешен доступ только для чтения. В некоторых версиях Windows разделы реестра, содержащие сведения о конфигурации некоторых служб,(-стр-146) заблокированы, и многие из запланированных задач недоступны для чтения пользователями. Однако Autoruns обычно прекрасно работает «на просмотр» и без администраторских прав. Права администратора требуются для просмотра полного списка элементов автозапуска и для изменения состояния системных элементов, таких как куст HKLM и папка Автозагрузка (Startup) для всех пользователей. При попытке удалить, отключить или включить такой элемент без прав администратора вы получите сообщение об отказе в доступе.
В Windows Vista и выше окно с сообщением об ошибке содержит кнопку Run as Administrator (Запуск от имени администратора), позволяющую перезапустить Autoruns с повышенными правами (рис. 5-3). С администраторскими правами изменение конфигурации должно пройти успешно. Можно также перезапустить Autoruns с повышенными правами при помощи механизма UAC, выбрав в меню File (Файл) команду Run as Administrator.
Рис. 5-3. Отказ в доступе и возможность запустить Autoruns с повышенными правами
Чтобы гарантированно запускать Autoruns с повышенными правами, запускайте утилиту из командной строки с параметром –e. В Windows Vista и последующих версиях этот параметр запрашивает повышение привилегий UAC, если они еще не повышены. В Windows XP и Windows Server 2003 появится диалоговое окно Запуск от имени (Run As). Установите переключатель в положение учетную запись другого пользователя (The following user) и введите учетные данные пользователя, имеющего права администратора. Подробнее о запуске от имени других пользователей и повышении прав через UAC см. в главе 2.
Проверка подписей кода
В принципе любой, написав программу, может вставить в нее название «Microsoft Corporation». И если в столбце Publisher (Издатель) указано именно это, вовсе не факт, что этот файл скомпилировали в Microsoft и с тех пор не изменяли. Определенную уверенность в подлинности источника и целостности файла дает проверка связанной с ним цифровой подписи. Некоторые файловые форматы позволяют внедрять в файл цифровую подпись. Также подпись, необходимая для проверки содержимого одного файла, может находиться в другом файле — так можно подписывать даже простейшие текстовые файлы.
Чтобы проверить цифровую подпись элемента, выберите его и нажмите Ctrl+V. Если файл подписан с действительным сертификатом от корневого (-стр-147)центра сертификации, считающегося надежным на текущем компьютере, в столбце Publisher появится текст (Verified) [(Проверено)], за которым будет идти имя владельца сертификата, которым подписан код. Если файл не был подписан или проверка по каким-то причинам не прошла, появится текст (Not verified) [(Не проверено)], за которым будет идти название компании, взятое из сведений о версиях файла (если оно там указано).
Чтобы не проверять элементы по одному, можно включить функцию проверки подписей кода (Verify Code Signatures) в меню Options (Параметры) и повторить сканирование, нажав F5, — Autoruns попытается проверить подписи для всех элементов автозапуска. Сканирование может продлиться дольше, так как при этом проверяется отзыв всех сертификатов, а для этого требуется хорошая связь с Интернетом.
Файлы, подписи которых не прошли проверку, можно считать подозрительными, так как вредоносное ПО часто внедряют, устанавливая файлы, имитирующих системные файлы Windows.
Утилита Sysinternals Sigcheck, описанная в главе 8, предоставляет более подробные сведения о подписях файлов, включая тип подписи и ее расположение.
Как скрыть системные тчк.АвтЗап Microsoft
По умолчанию выводится длинный список тчк.АвтЗап, так как сама Windows, как мы уже говорили, активно использует этот механизм. Обычно системные элементы автозапуска не предоставляют интереса при решении проблем. И в элементах автозапуска, созданных другими программами от Microsoft, такими как приложения пакета Microsoft Office, также можно не искать. Эти элементы автозапуска можно скрыть, включив параметр Hide Windows Entries (Скрывать элементы Windows) и Hide Microsoft And Windows Entries (Скрывать элементы Microsoft и Windows) в меню Options, обновив затем окно нажатием F5. Параметр Hide Windows Entries включен по умолчанию.
Работа этих параметров зависит также от того, включен ли параметр Verify Code Signatures. Если проверка подписей не включена, параметр Hide Windows Entries скрывает все элементы, в имени целевого файла которых присутствует слово Microsoft, а также элементы, целевой файл которых находится в папке %windir%. Параметр Hide Microsoft And Windows Entries проверяет только название «Microsoft» в поле Company Name и пропускает такие элементы. Как уже говорилось, легко создать программу, проходящую такую проверку, поэтому рекомендуется включать параметр Verify Code Signatures.
Если проверка подписей включена, параметр Hide Windows Entries скрывает элементы, подписанные сертификатом кода Windows (компоненты Windows подписаны особым сертификатом, отличным от подписи других продуктов Microsoft.) Параметр Hide Microsoft And Windows Entries (-стр-148)скрывает элементы, подписанные любым сертификатом Microsoft, выданным центром сертификации, считающимся надежным в данной системе.
Примечание Некоторые файлы, поставляемые с Windows, в частности, драйверы, созданы сторонними производителями, и в поле Company Name у них указано название соответствующей компании, но они дополнительно подписываются с использованием сертификата Windows. Следовательно, эти элементы могут быть скрыты, когда включена проверка подписей, но отображаться, когда проверка не проводится.
Параметры, отвечающие за проверку и маскировку системных тчк.АвтЗап, сохраняются в реестре и продолжают действовать, когда тот же пользователь снова запускает Autoruns.
Получение дополнительной информации о тчк.АвтЗап
Если щелкнуть элемент правой кнопкой, откроется меню Entry (Элемент). Команды из этого меню используют другие программы для отображения дополнительной информации о выбранном в окне Autoruns элементе:
• Properties (Свойства) — открывает одноименное окно Проводника для файла, на который указывает путь элемента тчк.АвтЗап;
• Jump To (Перейти к) — открывает папку или раздел реестра, в котором находится элемент автозапуска. В случае реестра открывается Regedit. exe и выполняется эмуляция нажатия клавиш для перехода к целевой записи (если нужный раздел в Regedit не открылся, повторите команду Jump To). Для тчк.АвтЗап из файловой системы эта команда открывает в Проводнике соответствующую папку. Для запланированных задач открывается Планировщик задач (Task Scheduler). Обратите внимание: в Windows Vista и выше для перехода по разделам в Regedit уровень целостности (IL) Autoruns должен быть не ниже, чем у Regedit;
• Search Online (Поиск онлайн) — выполняет поиск в Интернете по имени файла, используя обозреватель и поисковую систему по умолчанию;
• Process Explorer — если путь образа ведет к исполняемому файлу (а не к сценарию или файлу DLL), и процесс с таким именем еще работает, Autoruns пытается вызвать Procexp, чтобы тот открыл окно свойств для этого процесса. Чтобы эта команда работала, Procexp должен находиться в одной папке с Autoruns или быть доступным по одному из стандартных путей, либо должен быть уже запущен. При этом уровень прав у Procexp не должен быть выше, чем у Autoruns, в противном случае эта команда не будет работать.
Просмотр элементов автозапуска для других пользователей
Если Autoruns работает с правами администратора, появляется меню User (Пользователь), содержащее список имен пользователей, входивших в систему, чьи профили доступны. Если выбрать имя пользователя в этом меню, система будет просканирована заново для поиска тчк.АвтЗап этого поль(-стр-149)зователя, включая разделы Run ветви HKCU реестра этого пользователя и папку Автозагрузка (Startup) из его профиля.
Такая возможность полезна, например, для поиска вредоносного ПО, установленного обычными пользователями. Под учетной записью обычного пользователя можно изменять только пользовательские тчк.АвтЗап. Приложения, имеющие только стандартные пользовательские привилегии, не могут изменять общесистемные параметры или параметры учетных записей системы и других пользователей. Чтобы не входить в систему, дав тем самым возможность запуска этому вредоносному ПО (и, возможно, помешав сканированию Autoruns), можно войти в систему под учетной записью администратора. Далее нужно запустить Autoruns, выбрать скомпрометированную учетную запись в меню User (Пользователь), проверить тчк.АвтЗап этого пользователя и удалить вредоносные элементы.
Просмотр тчк.АвтЗап отключенной не работающей (не загруженной) системы
Autoruns позволяет просматривать тчк.АвтЗап отключенного не работающего экземпляра Windows из-под другой, стабильно работающей системы Windows. Это может быть полезно:
• даже если эта система с Windows не работает, в ней можно обнаружить и удалить сбойные или неправильно настроенные тчк.АвтЗап;
• вредоносные программы, в частности, руткиты, могут мешать Autoruns точно определять тчк.АвтЗап. Например, руткит, перехватывающий и изменяющий обращения к реестру, может скрывать содержимое некоторых разделов от Autoruns. Если завершить работу ОС и изучить ее тчк.АвтЗап в другой, не зараженной системе, эти элементы не будут скрыты;
• вредоносные файлы могут имитировать подпись надежного издателя, на самом же деле корневой сертификат получен от злоумышленника. В стабильной системе, где нет поддельных сертификатов, проверка фальшивых подписей не пройдет.
Рис. 5-4. Выбор системных папок и профиля в отключенной не работающей (не загруженной) системе
Чтобы выполнить анализ отключенной не загруженной системы, необходимо запустить Autoruns с административными правами и предоставить доступ к файловой системе отключенной не загруженной копии Windows. Выберите в меню File (Файл) команду Analyze Offline System (Анализировать отключенную не загруженную систему) и укажите системную папку целевой системы Windows и папку профиля поль(-стр-150)зователя (рис. 5-4). Заметьте, что носитель с файлами реестра должен быть доступен для записи.
Перечисление неиспользуемых тчк.АвтЗап
По умолчанию, Autoruns отображает строки только для тех тчк.АвтЗап, в которых имеются элементы автозапуска. Если в меню Options включить параметр Empty Locations (Пустые места), будут показаны все проверяемые тчк.АвтЗап независимо от наличия в них элементов автозапуска. Autoruns проверяет множество тчк.АвтЗап, так что выходной список значительно увеличится. Этот параметр применяют, чтобы убедиться, что проверяются нужные тчк.АвтЗап, или просто из любопытства. После включения параметр Empty Locations применяется при следующем сканировании.
Изменение шрифта
Чтобы изменить шрифт, используемый Autoruns для отображения результатов, выберите в меню Options команду Font (Шрифт). Изменение шрифта вступает в силу незамедлительно.
Вкладки автозапуска
При первом запуске Autoruns все элементы автозапуска отображаются в одном длинном списке на вкладке Everything. Окно программы содержит до 17 других вкладок с разными категориями элементов из полного списка (рис. 5-5).
Рис. 5-5. Категории автозапуска отображаются на вкладках
Вкладка Logon = (ВходОС)
На этой вкладке перечислены «стандартные» элементы автозапуска, обрабатываемые при запуске Windows и входе пользователя в систему. тчк.АвтЗап, указанные на этой вкладке, используются приложениями чаще всего. Сюда входят различные разделы реестра Run и RunOnce, папки Автозагрузка (Startup) из меню Пуск (Start) и сценарии, выполняющиеся при загрузке, выключении, входе и выходе из системы. Здесь также указаны исходные процессы сеансов пользователей, такие как Userinit и оболочка рабочего стола. Эти тчк.АвтЗап включают как пользовательские, так и общесистемные места, а также элементы, управление которыми выполняется через групповую политику. Здесь же перечислены разделы установщика и установленных компонентов, которые никогда не вносились документацию и не раскрывались сторонним производителям, но были обнаружены ими и стали применяться как во благо, так и во вред. (-стр-151)
Ниже перечислены тчк.АвтЗап из категории Logon, которые Autoruns проверяет в 64-разрядных версиях Windows 7.
Папка Автозагрузка (Startup) в меню Пуск (Start) всех пользователей
%ALLUSERSPROFILE%\Microsoft\Windows\StartMenu\Programs\Startup
Папка Автозагрузка (Startup) в меню Пуск (Start) пользователя
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
Пользовательские тчк.АвтЗап из раздела HKCU\Software
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\
Software\Microsoft \Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\
Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Пользовательские тчк.АвтЗап из раздела HKCU\Software, предназначенные для управления через групповую политику
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
Общесистемные тчк.АвтЗап из реестра
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Active Setup\lnstalled Components
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\
Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\lnstall\
Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (-стр-152)
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SYSTEM\CurrentControlSeAControl\SafeBoot\AIternateShell
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
Общесистемные тчк.АвтЗап из реестра, предназначенные для управления через групповую политику
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup
HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown
Общесистемные тчк.АвтЗап из реестра (только 64-разрядные системы)
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Wow6432Node\Microsoft\ActiveSetup\lnstalled Components
Общесистемные тчк.АвтЗап ActiveSync из реестра
HKLM\SOFTWARE\Microsoft\Windows CE Services\AutoStartOnConnect
HKLM\SOFTWARE\Microsoft\WindowsCEServices\AutoStartOnDisconnect
Общесистемные тчк.АвтЗап ActiveSync из реестра, только 64-разрядные системы
HKLM\SOFTWARE\Wow6432Node\Microsoft\WindowsCEServices\AutoStartOnConnect
HKLM\SOFTWARE\Wow6432Node\Microsoft\WindowsCEServices\AutoStartOnDisconnect
Вкладка Explorer
На этой вкладке перечислены общие элементы автозапуска, связанные напрямую с Проводником Windows, обычно запускаемые в процессе Explorer. exe. Большинство этих элементов — общесистемные, но среди них есть и несколько пользовательских. Ключевые элементы с этой вкладки:
• расширения оболочки, добавляющие элементы в контекстные меню, изменяющие страницы свойств и управляющие отображением столбцов в окнах папок;
• расширения пространств имен, такие как Рабочий стол (Desktop), Панель управления (Control Panel) и Корзина (Recycle Bin), а также расширения пространств имен сторонних производителей; (-стр-153)
• подключаемые обработчики пространств имен, обрабатывающие стандартные протоколы, такие как http, ftp и mailto, а также расширения Microsoft или сторонних производителей, такие как about, mk и res;
• подключаемые фильтры MIME. В 64-разрядных версиях Windows внутрипроцессные компоненты, такие как библиотеки DLL, могут загружаться только в процессы, созданные для той же архитектуры процессора. Например, расширения оболочки, реализованные как 32-разрядные DLL, могут загружаться только в 32-разрядную версию Проводника, а в 64-разрядных системах по умолчанию используется 64-разрядная версия Проводника. Поэтому не все расширения работают в 64-разрядных системах.
Ниже приведен список расположений тчк.АвтЗап из категории Explorer, которые Autoruns проверяет в 64-разрядных версиях Windows 7.
Пользовательские тчк.АвтЗап из раздела HKCU\Software
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\*\ShellEx\PropertySheetHandlers
HKCU\Software\Classes\AIIFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\AIIFileSystemObjects\ShellEx\DragDropHandlers
HKCU\Software\Classes\AIIFileSystemObjects\ShellEx\PropertySheetHandlers
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
HKCU\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Classes\Folder\ShellEx\ContextMenu Handlers
HKCU\Software\Classes\Folder\ShellEx\DragDropHandlers
HKCU\Software\Classes\Folder\ShellEx\ExtShellFolderViews
HKCU\Software\Classes\Folder\ShellEx\PropertySheetHandlers
HKCU\SOFTWARE\Classes\Protocols\Filter
HKCU\SOFTWARE\Classes\Protocols\Handler
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShelllconOverlay ldentifiers
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObject DelayLoad (-стр-154)
Общесистемные тчк.АвтЗап из реестра
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\PropertySheetHandlers
HKLM\Software\Classes\AIIFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AIIFileSystemObjects\ShellEx\DragDropHandlers
HKLM\Software\Classes\AIIFileSystemObjects\ShellEx\PropertySheetHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenu Handlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\DragDropHandlers
HKLM\Software\Classes\Folder\ShellEx\ExtShellFolderViews
HKLM\Software\Classes\Folder\ShellEx\PropertySheetHandlers
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Общесистемные тчк.АвтЗап из реестра (только в 64-разрядных системах)
HKLM\Software\Wow6432Node\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Wow6432Node\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Wow6432Node\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Wow6432Node\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShelllconOverlayldentifiers
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad (-стр-155)
Вкладка Internet Explorer = (IE)
Обозреватель Internet Explorer предоставляет немалые возможности для расширения: интерфейсы для работы с панелями, такими как Избранное (Favorites) и История (History), панелями инструментов, настраиваемыми элементами меню и кнопками. А вспомогательные объекты обозревателя (Browser Helper Objects, BHO) предоставляют почти неограниченные возможности для расширения функциональности Internet Explorer.
Поскольку пользователи проводят много времени за работой в обозревателе, и через него проходит много конфиденциальной информации (такой как пароли и данные кредитных карт), он стал основной целью злоумышленников. Те же программные интерфейсы, что обеспечивают интеграцию со сторонними программами для чтения документов и обмена сообщениями, используются и для кражи информации, рассылки спама и других вредоносных действий.
Ниже приведен список расположений тчк.АвтЗап из категории Internet Explorer, которые Autoruns проверяет в 64-разрядных версиях Windows 7.
Пользовательские тчк.АвтЗап из раздела HKCU\Software
HKCU\Software\Microsoft\lnternet Explorer\Explorer Bars
HKCU\Software\Microsoft\lnternet Explorer\Extensions
HKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks
Общесистемные тчк.АвтЗап из реестра
HKLM\Software\Microsoft\lnternet Explorer\Explorer Bars
HKLM\Software\Microsoft\lnternet Explorer\Extensions
HKLM\Software\Microsoft\lnternetExplorer\Toolbar
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Пользовательские и общесистемные тчк.АвтЗап из реестра (только в 64-разрядных системах)
HKCU\Software\Wow6432Node\Microsoft\lnternet Explorer\Explorer Bars
HKCU\Software\Wow6432Node\Microsoft\lnternet Explorer\Extensions
HKLM\Software\Wow6432Node\Microsoft\lnternet Explorer\Explorer Bars
HKLM\Software\Wow6432Node\Microsoft\lnternet Explorer\Extensions
HKLM\Software\Wow6432Node\Microsoft\lnternet Explorer\Toolbar
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Вкладка Scheduled Tasks = (План'щик)
На вкладке Scheduled Tasks (Запланированные задания) отображаются элементы, запускаемые Планировщиком Windows (Task Scheduler). Планировщик заданий запускать программы по фиксированному графи(-стр-156)ку или при возникновении некоторых событий, таких как вход пользователя в систему или простой компьютера в течение определенного времени. Команды, выполняемые At.exe, также входят в этот список. В Windows Vista Планировщик значительно усовершенствован, и Windows активно использует его, так что список элементов на этой вкладке будет довольно длинным, если не скрыть системные элементы Windows.
Так как задачи можно отключать (в отличие от элементов меню Пуск), при снятии флажка в Autoruns задача Планировщика отключается, а не копируется в резервную папку2.
Если в меню элемента запланированного задания выбрать команду, Autoruns откроет Планировщик, но переход к выбранному элементу выполнен не будет.
Вкладка Services = (Службы)
Службы Windows работают в неинтерактивных процессах в режиме пользователя, которые можно настроить для запуска независимо от входа пользователей в систему. Управление службами выполняется при помощи стандартного интерфейса Диспетчера служб (Service Control Manager). Один процесс может совместно использоваться несколькими службами. Наглядный пример — Svchost.exe (хост-процесс для служб Windows), предназначенный для служб, реализованных в отдельных библиотеках DLL.
Службы настраиваются в подразделах HKLM\System\CurrentControlSet\Services. Значение Start в каждом подразделе определяет, будет ли запускаться служба, и если будет, то как.
На вкладке Services (Службы) перечислены службы, которые не были отключены, если только они не отключены с помощью Autoruns (это можно понять по присутствию значения AutorunsDisabled в том же разделе). Содержимое поля Description (Описание) берется из текста или ресурса, указанного значением Description в разделе конфигурации. В столбце пути к образу показан путь к исполняемому файлу службы; для службы, работающей в Scvhost, — путь к DLL, указанный значением ServiceDll из раздела реестра для этой службы или его подраздела Parameters. Для просмотра раздела Parameters некоторых служб в некоторых версиях Windows требуются администраторские права, если их нет, в таких случаях Autoruns показывает путь к Svchost.exe.
Отключайте или удаляйте автозапуск служб только со знанием дела. Неправильные действия могут снизить производительность системы, сделать ее нестабильной или привести к невозможности загрузки. Опять же, заметьте, что отключение или удаление элемента службы не останавливает эту службу, если она уже запущена.
* Во время написания книги задания At нельзя было отключать в Windows Vista и выше ни с помощью Autoruns, ни через Планировщик, но можно было удалять. (-стр-157)
Один из приемов, используемых вредоносным ПО, — запуск служб, имитирующих системные службы Windows, но таковыми не являющихся, например файл svchost.exe из папки Windows, а не System32. Другой прием — ставить настоящие системные службы в зависимость от поддельной службы. Удаление или отключение такой службы без исправления зависимостей может привести к невозможности загрузки системы. Команда Jump To в Autoruns очень удобна для проверки зависимостей служб в реестре перед внесением изменений.
Вкладка Drivers = (Драйверы)
Драйверы также настраиваются в подразделах HKLM\System\CurrentControlSet\Services, но запускаются в режиме ядра, становясь частью ядра операционной системы. Большинство драйверов установлено в папке System32\Drivers и имеет расширение .sys. Драйверы позволяют Windows взаимодействовать с различными типами оборудования, включая мониторы, запоминающие устройства, устройства для чтения смарт-карт и т.д. Также они используются антивирусными программами (и утилитами Sysinternals, такими как Procmon и Procexp!) для мониторинга сетевого трафика и файлового ввода-вывода. И, конечно, они используются вредоносным ПО, в особенности, руткитами.
Как и в случае со службами, на вкладке Drivers (Драйверы) показаны драйверы, не помеченные как отключенные, если только они не были отключены средствами Autoruns. Значение Description берется из сведений о версиях файла драйвера, а путь к образу указывает расположение этого файла.
Большинство сбоев с «синим экраном» вызвано некорректными операциями, выполняемыми в режиме ядра, что в большинстве случаев вызвано ошибками в драйверах сторонних производителей. Гораздо реже причиной появления «синего экрана» является сбойное оборудование, завершение критически важного процесса, такого как Csrss.exe, или преднамеренное действие, вызванное специальной функцией драйвера клавиатуры (см. статью 244139 из базы знаний Knowledge Base по адресу http://support.microsoft.
com/kb/244139).
При помощи Autoruns можно отключить или удалить проблемный драйвер. Обычно для этого требуется перезагрузка. И в этом случае отключать и удалять конфигурацию драйверов можно только со знанием дела. Многие драйверы критически важны для операционной системы, и любая ошибка в конфигурации может привести к тому, что Windows перестанет работать.
Вкладка Codecs = (Кодеки)
В категории Codecs (Кодеки) перечислен исполняемый код, загружаемый приложениями для воспроизведения звука и видео. Сбойные и неправильно настроенные кодеки могут приводить к замедлению работы системы и другим проблемам, а их тчк.АвтЗап также могут использоваться вредоносным ПО. Ниже перечислены разделы, отображающиеся на этой вкладке. (-стр-158)
Разделы из HKLM и HKCU
\Software\Classes\CLSID\{083863Fl-70DE-lld0-BD40-00A0C911CE86}\lnstance
\Software\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\lnstance
\Software\Classes\CLSID\{ABE3B9A4-257D-4B97-BDlA-294AF496222E}\lnstance
\Software\Classes\CLSID\{AC757296-3522-4Ell-9862-C17BE5A1767E}\lnstance
\Software\Classes\Filter \Software\Microsoft\Windows NT\CurrentVersion\Drivers32
Разделы из HKLM и HKCU в 64-разрядных версиях Windows
\Software\Wow6432Node\Classes\CLSID\{083863Fl-70DE-lld0-BD4000A0C911CE86}\lnstance
\Software\Wow6432Node\Classes\CLSID\{7ED96837-96F0-4812-B211-F13C24117ED3}\lnstance
\Software\Wow6432Node\Classes\CLSID\{ABE3B9A4-257D-4B97-BDlA294AF496222E}\lnstance
\Software\Wow6432Node\Classes\CLSID\{AC757296-3522-4Ell-9862C17BE5A1767E}\lnstance
\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32
Вкладка Boot Execute = (Загр.ОС)
На этой вкладке отображаются собственные исполняемые файлы Windows, запускаемые Диспетчером сеансов (Session Manager, Smss.exe) во время загрузки системы. Элемент BootExecute обычно содержит задания, которые не могут быть выполнены, когда Windows уже работает, такие как проверка и восстановление жесткого диска (Autochk.exe). Элементы Execute, SOInitialCommand и SetupExecute должны быть пустыми после завершения установки Windows. Ниже перечислены разделы, отображающиеся на этой вкладке.
Разделы на вкладке Boot Execute (Выполнение во время загрузки)
HKLM\System\CurrentControlSet\Control\ServiceControlManagerExtension
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\System\CurrentControlSet\Control\Session Manager\SOInitialCommand
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
Вкладка Image Hijacks = (Кражи)
«Крадеными» образами я называю тчк.АвтЗап, выполняющие не ту программу, которую указал пользователь, и выполнения которой он ожидает. На вкладке Image Hijacks («Краденые» образы) показываются три типа таких перенаправлений:
• exefile (Файл «exe») — изменение ассоциации типа файлов .exe или .cmd с исполняемой командой. Через пользовательский интерфейс Windows (-стр-159)невозможно изменить ассоциации файлов .exe и .cmd, но они могут быть изменены через реестр. Обратите внимание на то, что есть и общесистемные версии этих тчк.АвтЗап;
• Command Processor\Autorun (Автозапуск процессора команд) — командная строка, выполняемая при запуске нового экземпляра Cmd.exe. Эта команда выполняется в контексте нового экземпляра Cmd.exe. Существуют пользовательская и общесистемная версии, а также отдельная версия для 32-разрядного варианта Cmd.exe в 64-разрядных системах;
• Image File Execution Options (IFEO) [Параметры выполнения файла образа] — содержимое этого раздела используется для некоторых внутренних недокументированных нужд. Одно из документированных назначений подразделов IFEO — возможность указать альтернативную программу, запускаемую при запуске определенного приложения. Если создать в этом разделе подраздел с именем файла исходной программы и значением Debugger, указывающим путь к альтернативной программе, то вместо исходной будет выполняться альтернативная программа. При этом она получит в качестве параметров командной строки путь и параметры командной строки исходной программы. Этот механизм создавался для того, чтобы запускать программы с отладчиком автоматически. Однако никто не обязывает указывать в качестве альтернативной программы именно отладчик или выполнять строго определенные операции с передаваемыми параметрами командной строки. С помощью этого механизма утилита Process Explorer (см. главу 3) замещает Диспетчер задач. Ниже перечислены разделы реестра, соответствующие тчк.АвтЗап, показанным на вкладке Image Hijacks.
Разделы, проверяемые на предмет «кражи» файлов EXE
HKCU\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKCU\Software\Classes\.exe
HKCU\Software\Classes\.cmd
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\Software\Classes\.exe
HKLM\Software\Classes\.cmd
Разделы автозапуска обработчика команд
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\Software\Microsoft\Command Processor\Autorun
HKLM\Software\Wow6432Node\Microsoft\Command Processor\Autorun
Разделы, проверяемые на предмет кражи параметров выполнения файла образа
HKLM\Software\Microsoft\Windows NT\CurrentVersion\lmage File Execution Options
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\lmage File Execution Options (-стр-160)
Вкладка AppInit = (+DLL)
Библиотеки DLL AppInit создавались разработчиками Windows NT 3.1 с исключительно благородной целью: укажите одну или несколько DLL в разделе реестра Appinit_Dlls, и эти DLL будут загружаться в каждый процесс, загружающий библиотеку user32.dll (т.е. практически в каждый процесс Windows, работающий в режиме пользователя). Ну, и что же здесь не так? А вот что:
• DLL загружаются в процесс во время инициализации User32, т.е. когда выполняется функция DllMain. Разработчикам же однозначно сказано, что нельзя загружать другие DLL при помощи DllMain. Это может приводить к взаимным блокировкам, неправильному порядку загрузки и, в итоге, к сбоям приложений. Однако AppInit DLL совершает именно этот грех, и действительно, он приводит к блокировкам и сбоям приложений;
• библиотека DLL, автоматически загружаемая в каждый процесс — мечта создателей вредоносных программ. Хотя библиотеки AppInit применяется в «законопослушных» (но неправильно написанных) приложениях, часто ими пользуются вредоносные программы. Из-за этих проблем библиотеки AppInit DLL не рекомендованы к использованию и по умолчанию отключены в Windows Vista и выше. Для обеспечения обратной совместимости их можно включить, но это не рекомендуется.
Разделы элементов AppInit
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Вкладка KnownDLLs = (DLL)
Функция KnownDLLs помогает повысить производительность системы, гарантируя, что все процессы Windows используют одинаковые версии заданных DLL, а не загружают их из разных каталогов. Во время загрузки Диспетчер сеансов размещает библиотеки DLL, перечисленные в разделе HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls, в памяти как именованные объекты-разделы. Когда загружается новый процесс, обращающийся к этим DLL, он использует существующие разделы, а не ищет их снова в файловой системе.
На вкладке KnownDLLs (Известные DLL) должны отображаться только проверяемые DLL Windows. В 64-разрядных системах на этой вкладке указана одна тчк.АвтЗап, но файлы дублируются для 32- и 64-разрядных версий DLL и размещаются в папках, указанных значениями реестра DllDirectory и DllDirectory32. (-стр-161)
Чтобы убедиться, что вредоносные программы не удалили элемент из этого раздела для загрузки поддельной системной DLL, сохраните результаты проверки Autoruns на подозрительной системы и сравните их с результатами, полученными в надежном экземпляре той же ОС (подробнее см. ниже).
Вкладка Winlogon
На этой вкладке показаны элементы, связанные с процессом Winlogon.exe, который управляет пользовательским интерфейсом для входа в систему. В Windows XP и Windows 2003 сюда входит интерфейс GINA DLL и пакеты уведомлений Winlogon. В Windows Vista эти интерфейсы удалены, а вместо них предоставлен интерфейс Credential Provider (Поставщик учетных данных).
На этой вкладке показана также выбранная пользователем экранная заставка, запускаемая Winlogon.exe после указанного периода бездействия.
Ниже перечислены разделы реестра, отображающиеся на вкладке Winlogon.
Пользовательская экранная заставка
HKCU\Control Panel\Desktop\Scrnsave.exe
Пользовательская экранная заставка, назначаемая через групповую политику
HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
GINA, пакеты уведомлений и т.д. (Windows XP и Windows Server 2003)
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SaveDumpStart
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
тчк.АвтЗап интерфейса Credential Provider (Windows Vista и последующие версии)
HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters
HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\PLAP Providers
Общесистемная идентификация программы для подтверждения успешной загрузки
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\lmagePath (-стр-162)
Вкладка Winsock
Сокеты Windows (Winsock) — расширяемый интерфейс API, позволяющий сторонним производителям добавлять поставщиков служб передачи данных, взаимодействующих с Winsock по другим протоколам или уровням поверх существующих протоколов для обеспечения работы приложений-посредников. Сторонние производители могут также добавлять поставщиков служб пространств имен, расширяя возможности Winsock по разрешению имен. Поставщики служб подключаются к Winsock посредством интерфейса поставщиков служб (Service Provider Interface, SPI). После регистрации в Winsock провайдер служб передачи используетcя для реализации функций сокетов, таких как connect и accept, для типов адресов, которые этот провайдер указал как обрабатываемые им. Нет никаких ограничений на то, как поставщик служб передачи реализует свои функции, но реализация обычно включает взаимодействие с драйвером передачи в режиме ядра.
На вкладке Winsock перечислены поставщики, зарегистрированные в системе, включая встроенные в Windows. Последние можно скрыть, применив параметры Hide Windows Entries и Verify Code Signatures, чтобы выделить элементы, которые с большей вероятностью могут вызывать проблемы.
Разделы элементов поставщика Winsock
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64
Вкладка Print Monitors = (Print)
Элементы, перечисленные на вкладке Print Monitors (Мониторы печати), являются библиотеками DLL, указанными в подразделах HKLM\System\CurrentControlSet\Control\Print\Monitors. Эти DLL загружаются в службу Spooler, которая запускается под учетной записью LocalSystem.
Примечание Одна из наиболее распространенных проблем спулера — некорректная реализация мониторов портов сторонними производителями. При решении проблем со спулером печати разумно начать с отключения мониторов портов сторонних производителей, а затем проверить, сохранилась ли проблема.
Вкладка LSA Providers = (LSA)
Эта категория элементов автозапуска включает пакеты, определяющие или расширяющие средства аутентификации пользователей Windows при помо(-стр-163)щи подсистемы локального центра безопасности (Local Security Authority, LSA). Если не установлены сторонние пакеты аутентификации, в этот список должны входить только проверяемые элементы Windows. Библиотеки DLL, указанные этими элементами, загружаются процессом Lsass.exe или Winlogon.exe и выполняются под учетной записью LocalSystem.
тчк.АвтЗап SecurityProviders, также показанная на этой вкладке, содержит список зарегистрированных поставщиков средств шифрования. Библиотеки DLL из этой точки загружаются во многие процессы привилегированных и обычных пользователей, так что она часто подвергается атакам. (На самом деле, эта тчк.АвтЗап не имеет отношения к LSA, за исключением того, что, как и LSA, предоставляет функции, относящиеся к безопасности.)
Разделы поставщиков средств аутентификации
HKLM\System\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\System\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\System\CurrentControlSet\Control\Lsa\Security Packages Keys
Разделы зарегистрированных поставщиков средств шифрования
HKLM\System\CurrentControlSet\Control\SecurityProviders\SecurityProviders
Вкладка Network Providers = (Сеть)
На вкладке Network Providers (Поставщики сети) перечислены установленные поставщики, управляющие сетевым взаимодействием, указанные в разделе HKLM\System\CurrentControlSet\Control\NetworkProvider\Order. Например, в настольных ОС Windows эта вкладка включает стандартных поставщиков, предоставляющих доступ к серверам SMB (файловым и печати), серверам Microsoft RDP (службы терминалов и удаленный рабочий стол), а также доступ к серверам WebDAV. Дополнительные поставщики могут появляться, если сеть более разнородна и требуется подключаться к другим типам серверов. Все элементы из этого списка должны быть проверяемыми.
Вкладка Sidebar Gadgets = (Гаджеты)
В Windows Vista и выше эта вкладка содержит список гаджетов боковой панели (в Windows 7 они стали называться гаджетами рабочего стола), появляющихся на рабочем столе пользователя. Хотя гаджеты часто (но не всегда) устанавливаются в системные папки, такие как %ProgramFiles%, конфигурация запускаемых гаджетов находится в файле %LOCALAPPDATA%\Microsoft\Windows Sidebar\Settings.ini, который имеется у каждого пользователя и не передается на другие системы. При отключении и удалении гаджетов при помощи Autoruns изменяются параметры файла Settings.ini. Путь к образу обычно указывает на XML-файл. Гаджеты, входящие в состав Windows, подписаны и могут быть проверены. (-стр-164)
Сохранение и сравнение результатов проверки
Результаты работы Autoruns можно сохранить на диск в двух форматах: текст, разделенный знаками табуляции, и двоичный файл, сохраняющий все полученные данные. Двоичные файлы можно загружать в Autoruns для просмотра в будущем и (или) на другом ПК, а также сравнивать с другим набором результатов Autoruns.
В обоих случаях результаты можно только читать; с их помощью нельзя вернуть систему в исходное состояние или восстановить конфигурацию, и в них нельзя добавлять или удалять параметры, изменяя сохраненные результаты.
Сохранение в виде текста с разделителями
Щелкните кнопку Save (Сохранить) на панели инструментов. В диалоговом окне сохранения файлов в списке Тип файла (Save As) выберите Text (*.txt) [Текст (*.txt)] и укажите имя файла, в который хотите сохранить текущие результаты. Данные, показанные на вкладке Everything (Все), будут записаны в файл в виде четырех столбцов, разделенных знаками табуляции. Выходные данные содержат тчк.АвтЗап (выделенные строки) в первом столбце и пустые строки в остальных трех. Перед включенными элементами (с установленными флажками) записывается знак плюс (+), перед отключенными — символ «X».
Полученный текстовый файл можно импортировать в Excel. Для первого столбца следует выбрать тип Текст (Text), а не Общий (General), чтобы плюсы в начале строк не интерпретировались как инструкции и спецсимволы.
В этом формате учитываются параметры, выбранные в меню Options. Если включен параметр Include Empty Locations, в файл будут записаны все тчк.АвтЗап, включая те, в которых нет элементов. Если включены параметры Hide Microsoft and Windows Entries и Hide Windows Entries, соответствующие элементы не будут записаны в файл. Если включен параметр Verify Code Signatures, столбец Publisher будет включать значения Verified либо Not Verified.
Autoruns не может загружать результаты, сохраненные в текстовом виде.
Далее в этой главе, в разделе, посвященном AutorunsC, показан способ сохранения результатов в других текстовых форматах при помощи сценариев.
Сохранение в двоичном формате (.arn)
Autoruns имеет собственный двоичный файловый формат с расширением .arn. Щелкните кнопку Save на панели инструментов и укажите имя файла, в который хотите сохранить текущие результаты, оставив тип файлов Autoruns Data (*.arn) [Данные Autoruns (*.arn)]. Будет сохранена вся информация, представленная на вкладке Everything (Все). Если включен (-стр-165)параметр Include Empty Locations, будут записаны все тчк.АвтЗап. Если включены параметры Hide…, соответствующие элементы не будут сохранены. Если предпринимались попытки проверки подписи файлов, сохранятся результаты этих проверок.
Можно автоматизировать получение данных и сохранение в файл .arn, используя параметр командной строки –a. Чтобы записать в файл outputfile. arn состояние элементов автозапуска, используя параметры Autoruns по умолчанию, выполните следующую команду:
Autoruns -a outputfile.arn
Чтобы добавить проверку подписей, укажите параметр –v, но не помещайте его между параметром –а и именем файла:
Autoruns -v -a outputfile.arn
Просмотр и сравнение результатов
Для просмотра файла .arn на том же или на другом ПК, выберите в меню File (Файл) команду Open (Открыть) и выберите сохраненный файл.
Чтобы сравнить результаты, показанные в Autoruns, будь то свежие данные или информация из сохраненного файла, выберите в меню File (Файл) команду Compare (Сравнить) и укажите сохраненный файл, с результатами из которого хотите провести сравнение. Элементы, различающиеся в двух наборах, будут выделены зеленым, как и элементы, появившиеся в первом наборе, но отсутствующие во втором. Однако удаленные элементы не отображаются. Чтобы обойти эту особенность, можно сохранить наборы как Файл1.arn и Файл2.arn, затем открыть Файл1.arn и сравнить его с Файл2. arn, после чего открыть Файл2.arn и сравнить его с Файл1.arn.
AutorunsC
AutorunsC — консольная версия Autoruns, выводящая результаты в стандартный выход и предназначенная в основном для использования в сценариях. Эта версия только собирает данные и не может отключать или удалять элементы автозапуска.
Параметры командной строки перечислены в табл. 5-11. Они позволяют получать данные обо всех элементах автозапуска или только для определенных категорий, проверять цифровые подписи, пропускать элементы Microsoft, указывать учетную запись пользователя, для которой требуется получить данные, а также сохранять результаты в виде значений, разделенных запятыми (CSV), или в виде файла XML. Если не указать никакие параметры, AutorunsC просто выведет элементы из категории Logon (Вход в систему) без проверки подписей в виде выровненного списка, удобного для чтения.
Независимо от формата вывода, выходные данные AutorunsC всегда включают расположение тчк.АвтЗап, имя элемента, описание, издателя, путь к (-стр-166)образу и указание на то, включен элемент или нет. Также включены хешстроки файла образа MD5, SHA-1 и SHA-256.
В формате CSV включены заголовки столбцов. Данные в этом формате легко импортировать в Excel или реляционные СУБД. Формат XML удобен для PowerShell и других программ, работающих с данными XML. Например, следующие команды PowerShell выполняют AutorunsC, считывают файл XML и отображают отключенные элементы:
$arcx = [xml]$( AutorunsC -a -x -accepteula) $arcx.SelectNodes(«/autoruns/item») | ?{ $_.enabled -ne «Enabled» }
Табл. 5-11. Параметры командной строки AutorunsC
Параметр Описание
-с Выходных данные записываются в формате CSV
-x Выходные данные записываются в формате XML
-v Проверяет цифровые подписи
-m Скрывает элементы Microsoft
user_имя Указывает имя пользователя, для которого выполняется проверка элементов автозапуска
Типы элементов автозапуска, где отображаются:
-a все записи
-b элементы, выполняющиеся при загрузке
-d библиотеки DLL Appinit
-e дополнения к Проводнику
-g гаджеты боковой панели (Windows Vista и последующие версии)
-h краденые образы
-i дополнения к Internet Explorer
-k известные DLL
-l элементы автозапуска при входе в систему (применяется по умолчанию)
-n поставщики протокола Winsock и сети
-o кодеки
-p DLL мониторов печати
-r поставщики безопасности LSA
-s службы и драйверы
-t запланированные задания
-w элементы Winlogon (-стр-167)
Autoruns и вредоносное ПО
Большинство вредоносных программ стремиться бесконечно оставаться на пораженной системе. Поэтому такое ПО всегда использовало тчк.АвтЗап. Сначала это были простые места, такие как раздел Run в ветви HKLM. Со временем вредоносные программы усложнялись, их становилось все труднее отследить, и способы использования тчк.АвтЗап тоже становились все более изощренными. Эти программы маскировались под поставщиков Winsock и мониторы печати. Такие тчк.АвтЗап не только сложно найти, но и программы, использующие их, не появляются в списке процессов, поскольку загружаются как DLL в существующие «нормальные» процессы. С ростом числа пользователей, имеющих ограниченный набор стандартных привилегий, вредоносное ПО приобретало все больше способностей к инфицированию и запуску без администраторских привилегий.
Кроме того, вредоносные программы часто используют руткиты, разрушая целостность операционной системы. Руткиты перехватывают и изменяют системные вызовы, сообщая неверную информацию о состоянии системы приложениям, использующим документированные системные интерфейсы. Руткиты могут скрывать наличие разделов и значений реестра, файлов и папок, процессов, сокетов, учетных записей пользователей и других элементов системы, и наоборот, могут заставить приложения верить, что существуют элементы, которых нет. Проще говоря, если в системе есть вредоносная программа с администраторскими привилегиями, отчетам этой системы о ее состоянии нельзя доверять. Поэтому Autoruns не всегда может идентифицировать вредоносные элементы автозапуска.
Однако не все вредоносные программы настолько сложны, и все равно остаются некоторые признаки, выдающие его присутствие:
• элементы, для которых указан известный издатель, такой как Microsoft, не проходят проверку подписей (к сожалению, не все ПО от Microsoft подписано);
• элементы, путь которых указывает на DLL- или EXE-файл без описания или информации об издателе (кроме случаев, когда целевой файл не найден);
• обычные компоненты Windows запускаются из необычных мест; например, если svchost.exe запускается из C:\Windows или C:\System Volume Information, а не из System32;
• элементы, для которых временная отметка файла запущенной программы совпадают с временем первого проявления проблем или обнаружения атаки;
• элементы, которые после отключения или удаления и обновления экрана восстанавливаются и включаются. Вредоносное ПО часто отслеживает свои тчк.АвтЗап и восстанавливает их в случае удаления.
|
|
