3) Службы (данные Диспетчера служб и драйверов, часть 1)

В этой таблице представлены следующие данные относительно обнаруженных в системе служб:

- имя службы

- описание

- состояние (статус)

- имя и адрес файла

- группа, к которой относится служба (если имеется)

- зависимости службы от других сервисов

Образец строки из протокола:

Зачем эта таблица?

Регистрация в качестве системных служб часто применяется как легитимным, так и вредоносным программным обеспечением. Создание службы имеет определенные преимущества перед обычным автозапуском (к примеру, через ключи Run): положим, к моменту, когда пользователь получает возможность войти в систему, многие службы уже загружены и работают. Установку служб производят, в частности, многие антивирусные пакеты. Запуск службы с широкими системными привилегиями позволяет им не зависеть от конкретного пользователя системы и получать доступ к защищенным объектам наподобие папки System Volume Information. Вредоносное ПО преследует обыкновенно те же цели, но, разумеется, не с благими намерениями.

4) Драйверы (данные Диспетчера служб и драйверов, часть 2)

В таблице драйверов доступны те же данные, что и в таблице служб.

Образец строки из протокола:

О драйверах мы рассказали выше.

Стандартные протоколы AVZ отображают состояние активных и неактивных служб и драйверов по данным API. Обычно этих данных достаточно для диагностики. Однако, если у пользователя все еще есть жалобы, а в протоколах нет подозрительных объектов, может использоваться процедура дополнительной диагностики. Для этого пользователю рекомендуется войти в безопасном режиме, запустить Диспетчер служб и драйверов, переключиться на вкладку Сервисы (по анализу реестра) и сохранить протокол. Изучение такого протокола может помочь консультанту выявить скрытые службы и драйверы.

Например, давайте посмотрим на следующие отрывки из протокола.

Это список служб по данным API, отсортированный в алфавитном порядке по именам. Обратите внимание на выделение: после ccSetMgr (Symantec Settings Manager) идет сразу gusvc (Google Updater Service).

А это отрывок из таблицы драйверов. Здесь тоже между AvgAsCln и ibmfilter нет решительно ничего.

Да и в списке неактивных (Not started) драйверов за dot4ufd непосредственно следует lbrtfdc.

Теперь обратимcя к протоколу, сохраненному из безопасного режима на вкладке Сервисы (по анализу реестра).

Вот возникла служба DomainService.

А вот драйвер с неудобопроизносимым названием, которого тоже не было в списке.

Также при подозрении на наличие скрытых процессов, служб, драйверов рекомендуется запускать Стандартные скрипты 2 и 3 при установленном в системе AVZPM.

5) Автозапуск (данные Менеджера автозапуска)

Файлы, тем или иным образом зарегистрированные для автоматического запуска после старта системы, в таблице характеризуются

- именем и адресом

- состоянием (статусом)

- методом запуска

- описанием, содержащим подробную информацию о регистрации объекта для автозапуска

Образец строки из протокола:

Зачем эта таблица?

Список элементов автозапуска – обязательный компонент отчета любой диагностической утилиты, поскольку большинство вредоносных программ должно для полноценного функционирования автоматически запускаться при старте Windows или после входа пользователя в систему.

Список элементов автозапуска AVZ довольно обширен и включает большинство ключей реестра, ответственных за автоматический запуск приложений.