Полювання на шкідливе програмне забезпечення за допомогою Sysinternals Tools

програмне

У цій частині статті будуть надані рекомендації щодо використання Process Explorer для пошуку та видалення шкідливого програмного забезпечення.

Переклад: Володимир Вороницький

Вступ

Автоматичне та ручне очищення шкідливого ПЗ

Існує безліч різних програм з виявлення та очищення від шкідливого ПЗ, до них також входить антивірус, розроблений Microsoft - MSRT (Malicious Software Removal Tool). Цей антивірус можна скачати безкоштовно тут. Проблема більшості антивірусів полягає в тому, що вони залежать від своїх сигнатур, тому щоразу, коли виявляється новий вірус або інше шкідливе програмне забезпечення постачальнику антивірусу потрібно оновити бази даних для того, щоб антивірусна програма змогла їх розпізнавати. Вірусописачі щодня створюють нове шкідливе програмне забезпечення, і тому вони завжди на один крок випереджають виробників антивірусів.

На якийсь час користувачі залишаються незахищеними від нових загроз, залежно від того, як часто постачальники антивірусного програмного забезпечення випускають оновлення. Багато користувачів ПК здогадуються про те, що їхній антивірус працює не ідеально. Часто один антивірус знайде те, що інший не помітить. З появою нового шкідливого ПЗ - жоден антивірус зможе його виявити. Це основа концепції Zero Day (нульового дня) - зовсім нове шкідливе програмне забезпечення не може бути одразу виявлене і захиститися від нього неможливо. У цьому випадку варто використовувати ручну перевірку. До того ж вона є більш практичною, ніж простий запуск антивірусу з надією на краще. Якщо ви помітили підозрілу поведінку в системі, замість того, щоб чекати поки вийдуть оновлення для антивірусу, ви можете "копнути"глибше та виявити його самі. Зробити це можна за допомогою Process Monitor та Autorun

Ручне впізнання шкідливого ПЗ та його очищення.

У своїх виступах Марк спочатку виділив такі кроки:

1. Вимкнути ПК від мережі 2. Розпізнати активність шкідливого ПЗ у процесах та драйверах. 3. Зупинити та завершити виявлені процеси 4. Розпізнати та видалити зловмисне програмне забезпечення з автозавантаження. 5. Видалити файли зі шкідливим програмним забезпеченням. 6.Перезавантажитись і повторити дії.

Але відключаючи заражений ПК від мережі, ви не зможете вивчити активність шкідливого програмного забезпечення та повністю зрозуміти, як воно працює і що робить.

Як розпізнати підозрілі процеси?

Більшість IT-професіоналів починають із простого - з вивчення закладки диспетчера завдань. Task Manager був покращений у Vista та Windows 7 у порівнянні з XP.

Колонка інформації про процеси, що використовуються програмою, містить корисну інформацію. (Зображення 1).

забезпечення

Ви можете отримати додаткову інформацію в Task Manger. У меню ВИГЛЯД ви можете відобразити додаткові колонки (Зображення 2).

допомогою

(Шкідливе ПЗ часто має дивний вигляд у командній консолі).

Перегляньте додаткову інформацію.

Зображення 3.

забезпечення

Все це непогано, проте Task Manager, все ж таки, не дає повної інформації.

Зверніть увагу, що процес можна вивчити за допомогою інструмента SysInternals Process Explorer, використовуючи Process Explorer, щоб виявити шкідливе ПЗ.

Process Explorer безкоштовна програма розміром 1.46Мб, яка може бути завантажена на сайті Microsoft TechNet.

Останню версію 14.1 можна завантажити звідси. Його також можна запустити за цим посиланням. Як бачите, на зображенні4 вид використовуваних процесів дещо інший.

шкідливе
зображення 4

У Process Explorer у лівій колонці зображено дерево процесів, у якому показані головні та дочірні процеси. Якщо процес виглядає підозрілим, то пов'язані з ним процеси можуть бути такими. Дуже корисною властивістю є можливість натиснути на процес і зробити "пошук онлайн" для пошуку інформації щодо процесу, як показано на зображенні 5.

шкідливе
Слід пам'ятати, що деяке шкідливе ПЗ буде використовувати псевдо-випадково згенеровані процеси, з метою запобігання отриманню будь-якої інформації при пошуку. Як ми нещодавно зазначали, шкідливе програмне забезпечення часто буває упаковано, фіолетовий колір індикатора в Process Explorer означає, що, можливо, файли упаковані. Зауважте, що процеси, створені у налагоджувальних версіях Visual Studio, виглядають як упаковані процеси.

Деякі процеси будуть вам досить знайомі, і не викличуть підозри (svchost.exe, rundll32, taskhost.exe і т.д.). Автори шкідливого ПЗ це теж знають, і часто за такими процесами ховається шкідливе ПЗ. Зловмисники створюють власні хост – служби для приховання активності в системних процесах. При виборі DLL ви можете побачити, що знаходиться всередині процесу, зображення або дані. Також цей вид відображає завантажені драйвера і може перевіряти рядки та цифрові підписи. Якщо ви виявите процеси Microsoft, які не мають цифрового підпису, це має викликати підозри, оскільки весь код Microsoft є підписаним.

Ви можете вибірково перевіряти підписи. Зробіть подвійний клік по процесу та у властивостях натисніть Verify.

Ви можете побачити вікно властивостей у діалоговому вікні, показане на зображенні 6.

забезпечення
.

Під час перевірки процесуутиліта вас підключить до Інтернету для перевірки Certificate Revocation List (CRL). У Process Explorer ви можете додати для відображення колонку "перевірені підписи"

Вигляд -> виділити потрібні колонки -> ставимо галочку “Verified Signer” як показано на зображенні 7.

забезпечення

Зауважте нову колонку з підписами, які були перевірені в індивідуальному порядку.

Підсумки

У першій частині статті, присвяченій використанню SysInternal tools для ручного виявлення та очищення шкідливого ПЗ у Windows системах, було показано, як використовувати Process Explorer для пошуку підозрілих процесів, які можуть вказувати на небажане ПЗ.

У другій частині ми розглянемо як використовувати функціонал автозавантаження для виявлення шкідливого ПЗ, що завантажується при запуску, а також, як використовувати Process Monitor для відстеження активності та можливих шляхів очищення системи.