Боремося з вірусами в Windows XP, Криптографія, Security & Hack, статті

Налаштування автоматичного запуску програм

Переважна більшість комп’ютерних вірусів, проникнувши на ваш комп’ютер, насамперед забезпечують умови для подальшого запуску свого програмного коду. Без цього вірусу ніяк не можна. Подобається подібне примус розробнику вірусу чи ні, він все одно зобов’язаний запрограмувати цей фрагмент коду. Якщо його вірус не впишеться в ті чи інші списки автозапуску операційної системи, то гарантовано загине після перезавантаження Windows або виключення живлення комп’ютера. Така “обов’язковість” в поведінці вірусів і дозволить нам легко їх відловлювати і припиняти подальшу активацію у вашій системі.


Для того щоб полегшити користувачеві контроль списків автозапуску і при цьому позбавити його копання в реєстрі, було написано досить багато програм. Про найкращу з них на мій погляд я і збираюся вас сьогодні розповісти. Називається ця програма Autoruns.


Програма Autoruns


Програма написана відомим фахівцем з нутрощів операційних систем Microsoft на ім’я Mark Russinovich в співавторстві з Bruce Cogswell. Програма має розмір менше одного мегабайта, не вимагає інсталяції і абсолютно безкоштовна. Це не закінчений проект, автори постійно його розвивають, доповнюючи своє дітище новими можливостями. Поточною версією на момент написання статті є номер 4.32. Саме про неї і піде у нас мова далі. Від версії до версії програма змінюється досить сильно, тому не дивуйтеся, якщо, скачавши з Інтернет свіжий реліз, ви виявите, що моє оповідання мало схоже на опис наявної у вас програми. Тим не менш, основні можливості Autoruns напевно залишаться тими ж, що і зараз, тому мої рекомендації все одно напевно вам знадобляться.


Отже, після того як ви скачаєте і запустіть програму, відразу сходите в розділ меню, який називається View, і приведіть його вміст до того виду, що зображений на малюнку. Такі настройки полегшать вам на перших порах аналіз виведеної цією програмою інформації.




Клацаєте правою кнопкою миші по зацікавила вас програмі і вибираєте в меню пункт Properties. Перед вами з’явиться стандартне вікно властивостей файлу Windows. Найбільш цінною для вас інформацією в цьому вікні є три наявні тут дати. У всіх трьох дат назви погано відображають те, що вони дійсно означають. Тому я прокоментую їх назви для вас ще раз і більш докладно.


Перша дата, що називається Створений, насправді означає дату інсталяції програми – ту саму, коли ви вперше встановили додаток на диск. “Створено” з точки зору Windows означає створення програми на підвідомчій їй території, а не створення самого файлу програмістом. Друга дата під назвою Змінено і означає реальну дату створення файлу програмістом. “Змінений” в даному контексті означає дату зміни внутрішнього змісту файлу. Тобто програміст откомпилирован додаток, файл змінився, дата змінилася слідом за ним. Якщо вірус змінить цей файл, вписуючись в його тіло, він також змінить цю дату.


Втім, якщо автор вірусу досить грамотний програміст, то в момент зараження він спочатку запам’ятовує вихідну дату програми, вписує код свого вірусу в її тіло, а потім відновлює вихідну дату. Тому особливо довірятися цьому ознакою не можна, хоча варто його враховувати при анализе. Я вам розповідаю про цей нюанс з датами модифікації файлу тому, що в своїй переважній більшості автори вірусів грамотними програмістами не є. Вони часто забувають (або взагалі не думають) про те, що слід пам’ятати про такі “дрібниці”, на чому і благополучно “горять”. Як влучно зауважив хтось із древніх, увага до дрібниць – основа будь магії. Третя дата, що називається Відкрито, означає час останнього запуску програми, тобто час, коли ця програма стартувала на вашому комп’ютері в останній раз. Аналізуючи значення цієї дати, слід враховувати, що ця функція стеження за доступом до файлів може бути відключена користувачем, т.к. постійний контроль даного параметра уповільнює дискові операції Windows NT/2000/XP/2003. Крім дат файлу, уважно проглядите на цій закладці опис програми, подивіться, чи має ця програма свою іконку. Потім перейдіть на сусідню закладку, називається Версія. Там вивчіть наявну інформацію про авторські права реальному назві програми і її версії. Мало хто з авторів вірусів ускладнює себе заповненням цих полів у своїх творах. Та й взагалі підробка вірусу під конкретне додаток зустрічається досить рідко. Як ви розумієте, утиліта управління ноутбуками IBM, запущена на вашому домашньому комп’ютері, виглядала б досить дивно і напевно відразу привернула б вашу увагу. Тому програми-віруси як правило “знеособлені”, і зазначені поля у них не заповнені.


Давайте підведемо міні-підсумок нашому приватному розслідування походження програми в моєму прикладі. Згідно зібраної нами інформації, програма TP98TRAY.EXE створена 25 липня 2001 р., встановлено мною на комп’ютер чотири дні тому і запущена системою півгодини тому. Всі три дати виглядають цілком реалістично і приблизно відповідають датою випуску програми і часу її установки на мій комп’ютер. Згідно полям властивостей виконуваного файлу, ми маємо справу з утилітою, що управляє режимами роботи ноутбуків IBM. Всі разом схоже на правду, але в тому випадку, якщо ви все одно сумніваєтеся в її походження, побайтово порівняйте виконуваний файл, що знаходиться в папці, з якої стартувала досліджувана програма, з однойменною файлом, що знаходяться в дистрибутиві драйверів IBM. Для цього можна скористатися командою fc / B [ім’я першого файлу] [ім’я другого файлу]. Якщо обидва файли однакові, ви отримаєте стовідсоткову гарантію того, що програма не підроблена.


Розібравшись з першою програмою, що стартує на моєму ноутбуці, давайте тепер подивимося, що собою представляє друга. Згідно з інформацією Autoruns, ми маємо справу з командних файлом, лежачим в корені диска D (а саме D: setupxppower.cmd). Запуск цього файлу виробляється зі звичайної користувальницької папки автозавантаження C: Documents and SettingsGermanStart Menu ProgramsStartup за допомогою ярлика setupxppower.lnk. В цьому випадку все набагато простіше. Командний файл (розширення. Cmd) зсередини являє собою звичайний текстовий файл, який при бажанні можна переглянути в Блокноті. У мене такого бажання немає, так як я і так добре пам’ятаю, як я його писав і ставив в папку автозавантаження. На моєму ноутбуці IBM ThinkPad 760ED цей файл відключає режим Standby під Windows XP, так як під цією операційною системою він працює не дуже добре.


Таким чином, я перевірив автоматично завантажуються на моєму комп’ютері програми і вірусів серед них не виявив. А на вашому комп’ютері як йдуть справи?

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*