- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
Антивирусный портал VirusInfo
ОСНОВЫ ЛЕЧЕНИЯ ОПЕРАЦИОННЫХ СИСТЕМ MICROSOFT WINDOWS ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ПОСРЕДСТВОМ УТИЛИТ HIJACKTHIS И AVZ
Учебный курс
Автор-составитель Николай Головко
Ставрополь 2008
Содержание
I. Введение
II. Работа с инструментами диагностики и лечения
Описание HiJackThis и работа с ней
Описание AVZ и работа с ней
III. Основы диагностики
Чтение протоколов HiJackThis
Чтение протоколов AVZ
IV. Лечение
Лечение с помощью HiJackThis
Лечение с помощью AVZ
V. Заключение
I. Введение
Учебный курс по основам лечения операционных систем семейства Microsoft Windows с помощью утилит HiJackThis и AVZ разработан антивирусным порталом VirusInfo с целью теоретического обеспечения тестирования пользователей на получение совместного сертификата VirusInfo и Лаборатории Касперского в области лечения компьютеров. Курс объединяет в себе опыт, накопленный специалистами VirusInfo за годы успешного лечения компьютеров под управлением Microsoft Windows. В данном учебнике рассматриваются принципы работы утилит, используемых специалистами VirusInfo, основы понимания протоколов этих утилит, а также представлена базовая информация о формах, способах и методах лечения инфицированного компьютера посредством указанных программ.
При подготовке учебника использовались разнообразные справочные материалы, такие, как учебник по работе с утилитой HiJackThis известного специалиста в области информационной безопасности Saule. В качестве примеров приведены реальные случаи инфекций, успешно устраненных специалистами VirusInfo. Курс, таким образом, основан на прочном теоретическом фундаменте и подкреплен личным профессиональным опытом авторов-составителей.
Основные положения, излагаемые в учебнике, проверяются тестированием на совместный сертификат VirusInfo и Лаборатории Касперского в области лечения компьютеров от вредоносного программного обеспечения. Соответственно данный курс может рассматриваться как официальное пособие по подготовке к упомянутому тестированию.
Учебник предназначен для пользователей со средним и продвинутым уровнем владения ПК.
II. Работа с инструментами диагностики и лечения
Добро пожаловать в учебный курс!
Мы постараемся представить вам всю необходимую информацию для овладения нашим методом лечения компьютеров от вредоносного ПО в доступной форме.
Тем не менее, имейте в виду, что определенные познания в сфере информационных технологий вам потребуются. Целью учебника не является научить вас принципам работы компьютера, устройству Windows или определению понятия «компьютерный вирус». Если в этих вопросах вы чувствуете неуверенность, обратитесь предварительно к электронной книге «Безопасный Интернет: Универсальная защита для Windows ME – Vista», доступной по адресу http://security-advisory.virusinfo.info, либо к пособиям для начинающего пользователя компьютера, каковые имеются в изрядных количествах в любом книжном магазине.
Лечение компьютеров по методу VirusInfo подразумевает использование двух утилит, каждая из которых сочетает возможности исследования системы со средствами ее очистки от ненужных и вредоносных компонентов. Это HiJackThis, которую в дальнейшем для краткости мы будем называть HJT, и антивирусная утилита AVZ, разработка русского эксперта в области безопасности Олега Зайцева. В подавляющем большинстве случаев сочетания этих двух утилит совершенно достаточно для уверенной диагностики и успешного удаления вредоносных программ.
Следует иметь в виду, что утилиты не предназначены для удаления вредоносного кода из легитимных программ, т.е. для ликвидации последствий работы файловых инфекторов (классических вирусов). Взамен они предлагают широкий спектр функций по уничтожению червей и троянских коней, которые и составляют сейчас подавляющее большинство вредоносных программ. Что касается классических вирусов, то здесь мы традиционно рекомендуем призывать на помощь либо полноценные антивирусы, либо бесплатные утилиты с функционалом лечения, предлагаемые некоторыми производителями антивирусного ПО (типичные примеры – CureIt! от Dr.Web или недавно появившаяся AVPTool производства Лаборатории Касперского).
В курсе мы последовательно разберем основы работы с HJT и AVZ, чтение их протоколов и лечение компьютера по результатам исследования системы этими двумя утилитами.