6 tööriista Windowsis automaatselt käivituvate programmide analüüsimiseks

2015-08-29 16:37:58
Põhiline·Tarkvara·6 tööriista Windowsis automaatselt käivituvate programmide analüüsimiseks

Pahavara on tavaliselt programmeeritud nii kaua kui võimalik süsteemis nakatumiseks, et varastada klahvilogimise kaudu arvutist lisateavet, jätkata teiste võrgus olevate arvutite levitamist ja nakatamist või olla osa botivõrgust, mis ootab oma isandalt kästi neil DDoS-rünnak käivitada. Nakatunuks jäämiseks, peale selle, et teda ei avastataks, peab see automaatselt käivituma, kui Windows on buutitud. Üks viis Windowsis nakkuse avastamiseks on kontrollida käivituskohtades kahtlasi kirjeid.

Kõige elementaarsem viis käivitusüksuste kontrollimiseks on Windowsi sisseehitatud süsteemikonfiguratsiooni (msconfig.exe) tööriista kasutamine, kuid kahjuks pole kontrollitavad punktid täielikud, neid saab hõlpsalt keelata lihtsa registri häkkimise kaudu ja MSConfig ei ütleme teile, millised kirjed pole ohtlikud. HijackSee oli varem populaarne tööriist pahavaraga nakatunud arvuti analüüsimiseks, mis sisaldab skannimistulemuses käivituskirjeid, kuid kahjuks on see enamiku teiste sama tüüpi tööriistadega asendatud.

Siin on 6 tasuta tööriista, mida saate kasutada käivitusüksuste analüüsimiseks, sealhulgas keerulised kohad, mida msconfig ei sisalda. 1. Emsisoft HiJackFree

HiJackFree on Emsisofti pakutav tasuta süsteemianalüüsi tööriist, mis on mõeldud kogenud kasutajatele populaarse pahavaravastase tarkvara koostajana pahavara tuvastamiseks ja arvutist eemaldamiseks. Käivituskannete kontrollimiseks klõpsake vasakpoolsel külgribal valikul Autoruns, kus see loetleb erinevate meetodite alusel käivitatavad üksused. Mis meile HiJackFree juures tõesti meeldis, on see, et see proovib automaatselt kindlaks teha, kas sisestused on ohutud või ohtlikud, ning märgistab need värvikoodidega hõlpsamaks tuvastamiseks.

Kui teil on aktiveeritud Interneti-ühendus, võite klõpsata paremas ülanurgas asuval värskendamiseikoonil, mis ütleb „Värskenda andmeid automaatselt võrgus”, kui hiirekursor sellele hiirekursorile hiirekursori püsib. Selle abil kontrollitakse käivitusüksusi värskeimate andmetega, et saada täpsemat ja ajakohasemat analüüsi. Saate üksuse käivitamise ajutiselt keelata, tühistades märkeruudu märkimise, redigeerides, kustutades ja isegi lisades uusi käivituskirjeid. Vahekaart Teenused on samuti väärt kontrollimist, kuna see on veel üks käivitamisviis, mida programm saab käivitada isegi enne kasutaja Windowsi sisselogimist.

Lisaks käivitusalade analüüsimisele saab HiJackFree näidata ka üksikasjalikku teavet töötavate protsesside, protsessiga avatavate portide, Exploreri lisandmoodulite, LSP, HOSTS-failide kirjete ja ActiveX-i installitud Windowsi süsteemi kohta. Kui soovite saada HiJackFree analüüsi aruannet, võite klõpsata paremas ülanurgas asuval veebianalüüsi nupul, kus genereeritakse logifail ja laaditakse see automaatselt Emsisofti veebisaidile analüüsimiseks. Kui analüüs on lõpule viidud, avaneb üksikasjade veebileht, kasutades teie vaikimisi veebibrauserit.

Laadige alla Emsisoft HiJackFree


2. Runscanner

Runscanner on tasuta ja kaasaskantav käivitusanalüsaator, mis on saadaval kahes režiimis ja on nii algaja kui ka asjatundja. Põhimõtteliselt on algaja režiim mõeldud lihtsalt logi skannimiseks ja loomiseks ning failide käivitamiseks, mida pahavara spetsialist peab üle vaatama. Mis puutub ekspertrežiimi, siis siin saate vaadata kõiki käivitusüksusi ja neid ka parandada, kui leiate kahtlase. Kõikide käivitusüksuste loetlemise asemel teeb Runscanner selle hõlpsaks, loetledes ainult need kirjed, mida nende valges nimekirjas pole. Loetletud elemendid ei tähenda tingimata, et need pole ohtlikud, vaid vajavad vaid erilist tähelepanu veendumaks, et teate, kust need pärinevad.

Algusüksuse kustutamiseks topeltklõpsake kirjet, et tšekk panna. Seejärel minge vahekaardile Üksuseparandus, kus saate üle vaadata üksused, mida soovite kustutada. Üksuste kustutamise kinnitamiseks klõpsake nuppu Paranda valitud üksused. Üksuse loendist eemaldamiseks võite ka topeltklõpsu vahekaardil Üksuste parandussüsteem. Kõiki Runscannerist kustutatud käivitusüksusi saab taastada vahekaardil Lisateave> Ajalugu / varundamine.

Runscanneril on ka lisafunktsioone laaditud moodulite uurimiseks, protsessimõrvariks koos võimalusega järgmisel taaskäivitamisel kustutada ja failide VirusTotalisse üleslaadimisega, et skannida üle 40 erineva viirusetõrjeprogrammiga.

Laadige alla Runscanner


3. Autorunid

Autoruns on üks populaarsemaid kaasaskantavaid tööriistu Windowsi käivitusprogrammide analüüsimiseks, mille on loonud Sysinternals ja mille on omandanud Microsoft. See tööriist on rohkem mõeldud kogenud kasutajatele, kuna see ei sisalda võimalust tuvastada ohtlikke või ohtlikke esemeid. Mõne üksuse jaoks kasutatakse värvitoodeid, näiteks failid, mida ei leita, kollane, üksuste puhul, millel pole faili omaduste teavet, punane.

Käivituskirje saate ajutiselt keelata, tühistades märkeruudu. Kui leiate, et tehtud muudatused on ohutud, saate kirje püsivalt kustutada parempoolse nupu kontekstimenüü abil. Vaikimisi peidab see ka Windowsi kirjed, et takistada teil olulist käivituskirjet valesti keelata, mis ei võimalda Windowsi buutimist, kuna muudatuste taastamine registri redigeerimisega ilma Windowsi buutimiseta võib olla üsna suur väljakutse.

Laadige alla Autoruns


4. Veebilahenduste automaatkäivitushaldur

Veebilahenduste automaatkäivitushaldur, lühendatud OSAM-iga, on veel üks käivitusanalüsaator, mis pakub võimalust skannida käivituskirjeid nende veebis pahavara skanneri abil. OSAM-i veebis olev pahavara skanner võtab põhimõtteliselt protsesside räsi ja võrdleb seda nende andmebaasiga. Pärast skannimist lisatakse analüüsile riskitase, et saaksite ohututest tähelepanuta jätta ja pöörata tähelepanu ainult tundmatutele. Samuti on üksused, millel on silt “Up-to-you”, mida saab eemaldada või puutumata jätta, kuna see ei kujuta endast turvariski.

Värvikoode kasutatakse ka veebipõhistes lahendustes Autorun Manager, kus sinine tähendab faili ei leitud ja kollane failide korral, millel pole atribuuditeavet. Märkeruudu tühjendamisel keelatakse üksuse käivitamine. Mõnel teadmata põhjusel ei õnnestunud meil käivitusüksusi jäädavalt kustutada, kuna paremklõpsu kontekstimenüü suvand „Kustuta salvestusruumist” on alati hall. OSAM on saadaval nii installimise kui ka kaasaskantava versioonina.

Laadige alla Interneti-lahenduste automaatkäivituse haldur


5. Vaiksed jooksjad

Silent Runners on tegelikult VBScript, mis lihtsalt genereerib logifaili, mis sisaldab süsteemi käivitusüksusi. Puudub graafiline kasutajaliides ega suvandid ning faili ise käivitades väljastatakse logifail skriptiga samas kataloogis. Windowsile kuuluvad käivitusüksused ei kuulu loendisse ja peaksite arvestama ridadega, mis sisaldavad <>, kuna pahatahtlik tarkvara kasutab tavaliselt käivituspunkti.

Ilmselt pole vaikne jooksja mõeldud põhikasutajate jaoks ega kahtlaste käivituskannete eemaldamiseks. See VBScript osutub kasulikuks, kui teil on käivitatavate failide käitamine piiratud.

Laadige alla hääletud jooksjad


6. FreeFixer

FreeFixer on üldine eemaldamise tööriist, mis skannib mitte ainult arvukaid käivitamiskohti, vaid ka mitut muud süsteemi piirkonda, kus pahavara võiks end varjata. Kokku skannitakse üle 40 erineva asukoha, sealhulgas brauseri abistajaobjektid, Mozilla Firefoxi / Internet Exploreri tööriistaribad ja laiendused, automaatkäivituse otseteed, registri käivitamised, plaanitud toimingud, varjatud protsessid, HOSTS-fail, süsteemipoliitikad, draiverid, teenused, TCP / IP-sätted, UserInits, otseteed, hiljuti loodud või muudetud failid, Svchost.exe / Explorer.exe moodulid ja palju muud.

Ehkki programm kasutab tulemusloendis kuvatavate täiesti õigustatud kirjete arvu vähendamiseks valget nimekirja, teeb see siiski selgeks, et vajate siiski teadmisi koguse kohta, et mõista, mida soovite säilitada ja mida soovite pahatahtlikuks muuta ning mis tuleb eemaldada. Kuna skannimine on põhjalikum, võib toimingu tegemiseks kuluda 10 minutit või rohkem, seega on vaja pisut kannatlikkust. Laadige lihtsalt alla installiprogramm või kaasaskantav versioon, käivitage see ja vajutage nuppu Start Scan.

Kui leidub veel kirjeid, millest te tulemuste ülevaatamisel aru ei saa, viib link „lisateave” teid FreeFixeri veebisaidi veebipõhisesse raamatukokku, kus täpsem teave võib loodetavasti anda parema ülevaate, mis üksus on. Märkige see, mida soovite eemaldada, ja klõpsake siis nuppu Paranda. Taustiskaneerimise ajastamiseks ja failide üleslaadimiseks FreeFixerisse on lisasätted, kui klõpsate nupul „Lisateave”. Failide nükeri ja süsteemifaili kontrollija leiate tööriistade aknast. Windows 2000 kuni 8.1 on toetatud.

Laadige alla FreeFixer

Toimetaja märkus : Ehkki need 6 tööriista, mille me tutvustasime, saavad loetleda ja kustutada käivituskirjeid, mille loob kolmanda osapoole programmid, pole see siiski lollikindlus, kuna on olemas ka täiustatud tüüpi pahavara, näiteks juurkomplekt, mis vajab juuresolekut tuvastamiseks juurkomitete vastast programmi . Veelgi enam, me oleme näinud tõeliselt nutikat klahvilogijat, mis lisab käivituskirje alles vahetult enne programmi lõpetamist, kui Windows suletakse, ja eemaldab selle automaatselt pärast taaskäivitamist Windowsi käivitamisel. See meetod möödub tõhusalt kõigi ülalnimetatud 5 tööriista tuvastamisest.

Toimetaja Valik