- Сообщения
- 8,030
- Решения
- 12
- Реакции
- 6,805
Autoruns - отслеживание точек автозапуска программ.
Источник.
Общие сведения о программе Autoruns.
Autoruns - программа от компании Sysinternals для получения подробнейшей информации обо всех процессах, запускающихся автоматически, в среде операционной системы Windows.
Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)
После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки MS появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals.
Программа не требует инсталляции в системе, - просто скачайте и распакуйте архив Autoruns.zip в какую либо папку и запустите исполняемый файл приложения. В архиве присутствует файл документации на английском языке autoruns.chm, текстовый файл с кратким описанием и лицензионным соглашением eula.txt и два исполняемых файла - версия с графическим интерфейсом пользователя Autoruns.exe , и консольный вариант утилиты - Autorunsc.exe.
Autoruns является самым популярным программным продуктом Sysinternals, и пожалуй, самым информативным и удобным инструментом для отслеживания точек автоматического запуска процессов в Windows, в том числе, скрытых или необычных, часто используемых вирусами и другим вредоносным программным обеспечением (malware). Поиск и устранение внедрившегося в среду Windows, вредоносного программного обеспечения - одно из основных направлений использования Autoruns.
Программа позволяет получить полный список точек автозапуска (autostart locations), идентифицировать их местонахождение, исследовать способы и последовательность запуска, обнаружить скрытые точки входа, а также заблокировать, по выбору, автостарт ненужного процесса. Огромные возможности, и удобство использования данной утилиты, сделали просто обязательным включение Autoruns в инструментальный набор средств для практического исследования системы.
Autoruns работает во всех версиях Windows, включая и 64-битные. Для реализации всех потенциальных возможностей Autoruns, утилита должна выполняться под учетной записью с правами системного администратора. Кроме работы в среде активной операционной системы (ОС, в которой вы работаете), возможно использование утилиты для анализа точек автозапуска другой ОС, системный каталог которой и каталог с профилем пользователя можно выбрать с помощью главного меню (File - Analyze Offline System).
После запуска исполняемого файла Autoruns.exe, на экране появится главное окно программы:
Интерфейс программы состоит из пяти частей - строка меню (menu bar), панель инструментов (toolbar), вкладки фильтров источников автозапуска, область вывода данных в виде списка с фиксированными элементами строк, описывающих автоматически запускающийся процесс, и область в нижней части экрана, с детализацией свойств выбранного процесса.
Список точек автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. По умолчанию, открывается вкладка Everything с отображением всех возможных точек автозапуска, отображаемых в главном окне в соответствии с опциями, задаваемыми пунктом Options главного меню. В качестве опций (параметров отображения информации) можно выбрать:
- Include Empty Location - показ пустых разделов. Обычно, данная опция выключена.
- Hide Microsoft and Windows Entries - скрыть точки автозапуска продуктов Microsoft и процессов самой Windows
- Hide Windows Entries - скрыть точки автозапуска, используемые самой Windows
- Verify Code Signature - Проверить цифровые подписи программных модулей. Статус проверки будет отображаться в колонке автора программы Publisher и может быть Verified - прошел проверку и Not Verified - не прошел. Для проверки цифровых подписей необходим доступ в Интернет.
При изменении параметров отображения, необходимо обновить экран (нажать F5).
Информация о точках автозапуска в окне данных разбита на несколько колонок:
- Autorun Entry - имя программы. Каждая программа сопровождается значением точки автозапуска (ключ реестра, папка автозапуска, папка задач планировщика). Записи об исполняемом файле соответствует признак включения/отключения автозапуска. Наличие галочки перед именем означает, что процесс будет запущен, отсутствие - процесс заблокирован. Если блокируемый процесс уже выполняется, то отключение автозапуска будет действовать для следующей перезагрузки системы. Процесс блокировки может представлять собой отключение драйвера или службы через реестр, удаление ярлыка из папки автозагрузки, отключение выполнения задачи планировщиком.
- Description - краткое описание автоматически запускаемого процесса.
- Publisher - Автор программы. Признак проверки цифровой подписи может выводиться как часть колонки Publisher (Veryfied, или Not Veryfied). Наличие и достоверность цифровой подписи является признаком того, что данный процесс не является вредоносным. Недостоверность или отсутствие цифровой подписи, как правило, должно привлечь внимание к данной записи. Однако, неподписанные файлы далеко не всегда могут быть вирусом или другим нежелательным ПО, поскольку наличие цифровой подписи не является обязательным стандартом для производителей программных продуктов.
- Image Path - путь и имя исполняемого файла.
Все элементы автозапуска программа Autoruns разбивает на группы, соответствующие различным категориям автозапуска.
Everything - выводятся все известные утилите Autoruns точки автозапуска..
Logon - выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой Winlogon (Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки "Автозапуск", разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт User, позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки "Logon" будет изменяться.
Explorer - выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий ( Shell Execute Hooks)
Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:
- Добавление записи в раздел реестра для автозапуска программ текущего пользователя
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Тот же прием для всех пользователей
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Добавление файла или ссылки на файл вируса в папке "Автозагрузка"
- Добавление записи в раздел параметров службы Winlogon
Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
стандартно принимающий строковое значение
C:\WINDOWS\system32\userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой. Так, например запись
C:\WINDOWS\system32\userinit.exe,virus.exe,C:\TEMP\svchost.exe
обеспечит запуск кроме стандартной программы userinit.exe еще и непонятных virus.exe и svchost.exe, которая никоим образом не может находиться в папке C:\TEMP и вообще запускаться из данной группы точек автозапуска. Все, что записано после usrinit.exe, нужно удалить - эти записи обеспечивают запуск вредоносных программ. Подобный прием используется подавляющим большинством вирусов СМС-вымогателей образца 2011 года на ОС Windows 2000/XP.
userinit.exe выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется Проводник (Explorer.exe) Проводник реализует графический интерфейс пользователя (GUI) - рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить, то пользователь получает пустой рабочий стол без каких-либо элементов управления.
Для запуска оболочки пользователя используются данные из ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Стандартно - это строка Explorer.exe. Если значение другое, то имеет место вирусное заражение.
Вредоносные программы могут также использовать также и точки однократного автозапуска (RunOnce, RunOnceEx), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.
Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry - Search Online) или по контекстному меню правой кнопки мышки. А проще всего - отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com
Internet Explorer - выводится список вспомогательных объектов браузера (BHO - Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель.
Использование уязвимостей обозревателя - один из самых распространенных способов вирусного заражения. IE - сложный программный комплекс, своеобразный интерпретатор содержимого, полученного с посещаемых сайтов, программный продукт, свойства которого могут быть расширены или изменены с помощью дополнительных программных модулей. Эта гибкость обозревателя в полной мере эксплуатируется и создателями вредоносных программ. В результате, на сегодняшний день, основным "поставщиком" вирусов являются обозреватель Интернета, при чем, не только Internet Explorer. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. Утилита Autoruns позволяет легко обнаружить и деактивировать такие модули (снять галочку автозапуска). В большинстве случаев признаком нежелательного ПО является неизвестный или непонятный издатель, информация о котором отображается в поле Publisher.
Services - выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Службы, не имеющие описания, цифровой подписи, или недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места - каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .
Drivers - выводится список драйверов, запуск которых разрешен (параметр Start в разделе реестра, относящегося к драйверу не равен 4 что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов
Codecs - перечень установленных библиотек преобразования аудио-видео данных.
Scheduled Tasks - выводится список задач, запланированных для выполнения планировщиком (Task Scheduler).
Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.
Image Hijacks - выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением .exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением .exe
Appinit DLLs - выводится список всех зарегистрированных в системе DLL. Обычно используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll
Ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls Обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.
Ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls Обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.
Known DLLs - список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.
Boot Execute - программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)
Winlogon Notifications - список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом / выходом пользователя (logon/logoff), запуском заставки, завершением работы системы.
Winsock Providers - список провайдеров служб Windows для доступа к сетевым функциям. Обычно - это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.
LSA Providers - список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.
Print Monitors - список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors
Sidebar Gadgets - список гаджетов установленных пользователями Windows 7 / Vista
Основное меню (menu bar) программы Autoruns .
Частично, назначение некоторых пунктов меню утилиты Autoruns рассмотрено выше по тексту.
Пункты основного меню File
Find - поиск текста в текущем окне выходных данных Autoruns.
Load - открыть из файла ранее сохраненный отчет Autoruns
Save - сохранить текущий журнал Autoruns.
Compare - сравнение текущего отчета Autoruns с сохраненным ранее. Позволяет быстро определить новые элементы автозапуска, появившиеся с момента сохранения сравниваемого отчета. Новые элементы выделяются зеленым цветом.
Пункты основного меню Entry
Все пункты меню Entry относятся к выделенному элементу отчета на текущем экране Autoruns. Все опции также доступны из контекстного меню, вызываемого правой кнопкой мышки.
Delete - Удалить элемент автозапуска. Восстановить удаленный элемент средствами самой утилиты Autoruns невозможно. Бездумное удаление критически важных элементов автозапуска может привести к краху системы. Чтобы не удалять элемент, а только заблокировать его, нужно сбросить флажок (убрать галочку) в первой колонке строки данного элемента.
Copy - Копирование данных выделенной строки в буфер обмена.
Verify - Проверить цифровую подпись выделенного элемента.
Jump to - как и в большинстве продуктов Sysinternals, позволяет быстро перейти к тому разделу реестра или каталогу Windows, который связан с данной точкой автозапуска. Очень удобный режим, позволяющий экономить время и нервы при анализе информации. Переход также можно выполнить двойным щелчком на выбранном элементе.
Search Online - Autoruns выполнит запуск обозревателя Интернета и с его помощью выполнит поиск информации о точке автозапуска, связанной с текущим элементом отчета. Используется механизм поиска, на который настроем обозреватель, например, поиск Яндекса
Properties - Отобразить свойства исполняемого файла автоматически запускаемого процесса.
Process Explorer - Запустить утилиту Process Explorer от Sysinternals для отслеживания активности выбранного процесса. Программа Process Explorer должна присутствовать, и должна иметься возможность ее запуска с использованием пути в переменной окружения path
Приемы работы с Autoruns.
Одно из основных предназначений Autoruns - поиск и обезвреживание вредоносного программного обеспечения. Мощные возможности исследования и нейтрализации элементов автозапуска позволяют легко справиться с внедрившейся в систему заразой. Любой вирус, лишенный возможности автоматического запуска, становится совершенно безвредным, как например, обычный текстовый файл, хранящийся на компьютере.
При возникновении сомнений в отношении какого-либо элемента автозапуска, приведенного в списке выходных данных Autoruns попробуйте провести подробное его исследование, используя следующие приемы:
- Проанализируйте описание, сведения об издателе, наличие и достоверность цифровой подписи.
- Выполните двойной щелчок по исследуемому элементу и проверьте точку его автостарта в реестре или каталоге файловой системы.
- Используйте контекстное меню Search Online или комбинацию клавиш CTRL+M для получения дополнительных сведений по результатам поиска в Интернете.
- Если у вас имеется сохраненный журнал предыдущих сессий - сравните текущие данные с сохраненными (меню File-Compare).
- Отправьте файл на онлайн проверку VirusTotal.com. Если файл является вредоносным, с большой долей вероятности, служба VirusTotal этот факт подтвердит.
- Для подробного анализа активности подозрительного процесса используйте родственную утилиту Process Explorer от Sysinternals. Можно воспользоваться прямым вызовом утилиты через пункт контекстного меню для выбранного элемента автозапуска.