Čistenie systému: Procesy a registre

Systém pod kontrolou pomocou HijackThis, Ultimate Process Manager, ESET SysInspector, Autoruns a Process Explorer.


Na počítačoch máme tie programy, ktoré chceme používať. Občas sa ale môže pritrafiť, že sa do nich medzi ne infiltrujú aj neželaní hostia, čiže infiltrácie. Ide o malé programy, ktoré majú za úlohu uškodiť. Či už znemožňovať prácu reštartovaním systému, zobrazovaním pop-up okien, ale aj zbieraním súkromných hesiel (bankové, hry, e-mail) a klamaním používateľa s cieľom získania peňazí. Akými spôsobmi môžu v počítači bežať a vykonávať túto činnosť?

 
 
Azda tou najznámejšou je EXE súbor, jeho spustenie a beh v pozadí. O čosi sofistikovanejší spôsob je načítanie DLL knižnice, služba alebo ovládač. Toto všetko sa dá odhaliť pomerne ľahko. Záleží od toho, či sa háveď nejakým spôsobom snaží skryť a aké techniky na to využíva. Vtedy je jej odhalenie, samozrejme, ťažšie, ale stále odhaliteľné. Špecifickou formou napadnutia systému je „injektovanie sa“. Pri ňom sa škodlivý kód dostáva do legitímneho procesu (bývajú to proces Internet Exploreru iexplore.exe, Prieskumník Windows explorer.exe a zopár ďalších podobných). Toto sa už odhaliť tak ľahko nedá.
 
Správca úloh
 
Prvou a zároveň najjednoduchšou možnosťou ako nazrieť „pod kapotu“ je stlačenie trojkombinácie Ctrl-Alt-Del a kontrola procesov. Treba povedať, že ide už o „zastaraný“, aj keď čiastočne použiteľný spôsob. Nevýhodou č. 1 je, že infiltrácia musí byť spustený „exáč“ a nemôže použiť ochranný prvok, ktorý by tento proces pred Windowsom skryl. Ďalším nedostatkom je, že ak vidíme napríklad proces svchost.exe, ktorý má štandardne viac inštancií (t.j. vidíme ho spustený viac krát), a napr. trójsky kôň sa nakopíruje do adresára %systemroot% (Windows) pod týmto menom, jednoducho ho prehliadneme a necháme bežať. Treťou nevýhodou je to, že nevidíme hneď spôsob, akým sa proces aktivuje, takže ak proces ukončíme, pri ďalšom spustení systému sa spustí opäť. Preto je dobré použiť rovno niektorú zo špecializovaných utilít, ktorá nám tieto „spúšťače“ ukáže.
 
Image
 
HijackThis
 
Jednou z nich, pravdepodobne najznámejšou, je HijackThis. Mnohí si mysleli, že po jeho odkúpení bezpečnostným gigantom Trend Micro, mu bude zabezpečená podpora a pravidelné aktualizácie. Napokon sa ukázalo, že sa mýlili. V októbri 2007 prišla verzia 2.0.2, ktorá je aktuálna dodnes. Napriek tomu sa používa ako primárny analytický nástroj na mnohých fórach zameraných na liečenie napadnutých počítačov. Avšak, škodlivé kódy sa neustále zlepšujú a na niektoré už, ako máme možnosť prakticky vidieť, „HJT“ nestačí. Jednoduchým a krátkym skenom systému získame informácie o práve bežiacich procesoch, domovskej stránke Internet Exploreru, DLL knižniciach zapísaných v dôležitých vetvách databázy Registry (Browser Helper Object, Appinit, Winlogon), automaticky spúšťaných aplikáciách (Run kľúče), službách, toolbaroch.
 
Image
 
Niektoré položky môžeme priamo aj odstrániť, čiže „fixnúť“. To ale nie je všetko. Ak sa totiž v programe trochu „pohrabeme“, nájdeme aj ďalšie užitočné funkcie. Okrem možnosti vygenerovania Startup listu sa môžeme na procesy pozrieť aj cez Process manager a v ňom ich ukončiť a, dokonca, aj kontrolovať DLLky načítané pod jednotlivými procesmi, čiže moduly. Niektoré infiltrácie zvyknú modifikovať hosts súbor a tak presmerovať legitímne stránky na tie falošné alebo reklamné. V tom prípade sa hodí Hosts file manager, ktorý hravo zvláda editáciu tohto systémového súboru. Ak medzi službami alebo procesmi nájdeme škodcu, HijackThis ponúka aj priestor na ich zmazanie.
 
Ultimate Process Manager
 
Druhým, v porovnaní s HijackThis značne obohatenejším nástrojom, je Ultimate Process Manager (UPM) od českého programátora Lodusa. Po jeho spustení hneď vidíme procesy a v sekcii Ďalšie nástroje „autoštart“ objekty, služby, ovládače, moduly. V ponuke nájdeme aj možnosť hľadať podozrivé súbory v zvolených adresároch. Šikovná je funkcia „Hľadanie DLL“, ktorá vyhľadá nami zvolenú knižnicu v bežiacich procesoch. Ak ide o infikovaný súbor, môžeme sa hneď pokúsiť o jej odstránenie. Program dokáže zmazať aj iné súbory, stačí ich vyhľadať alebo skopírovať ich umiestnenie.
 
Image
 
Ak nejaká infiltrácia modifikuje systémové nastavenia, cez UPM ľahko tieto hodnoty opravíte. Ide napríklad o zablokovanie Správcu úloh, Editor registru, zmeny pozadia atď. Na procesy sa môžeme pozrieť aj v stromovej štruktúre či nechať si zobraziť o každom „vyčerpávajúce“ informácie, ktoré sa hodia naozaj len profesionálom. Program pracuje s databázou známych súborov a tak pomáha používateľovi zhodnotiť riziká jednotlivých súborov. Ak si nie sme istí, cez menu sa ľahko preklikneme na Google, zdroj všetkých informácií.
 
ESET SysInspector

Slovenská firma ESET prišla na trh s bezplatným nástrojom určeným na analýzu stavu systému, ktorý síce integroval do štvrtej generácie svojich bezpečnostných riešení ESET NOD32 Antivirus a ESET Smart Security, ale ponechal tiež jeho samostatné vydanie. Aplikácia ponúka len nahliadnutie do útrob systému, čiže cez ňu neuskutočníme žiadny priamy zásah, takže si ňou pokaziť systém určite nemôžeme. Avšak, podľa internetovej stránky ESS4 beta sa počíta s tým, že v chystaných verziách sa táto funkcia už objaví. Log je robený stromovou štruktúrou. Nájdeme v ňom, samozrejme, procesy, služby, ovládače, dôležité kľúče Registry (je ich viac ako pri ostatných utilitách), ale aj sieťovú komunikáciu, dôležité súbory systému (hosts, win.ini, system.ini) a základné informácie o systéme.
 
Image
 
Ak prejdeme na niektorý z procesov, automaticky sú zobrazené aj moduly s ich umiestnením a popisom súboru. Popisy sa taktiež zobrazujú aj pri prechádzaní ostatných záznamov. Program rovnako ako UPM zaraďuje jednotlivé súbory do jednej z bezpečnostných kategórií a farebne ich rozlíši. Cez používateľské rozhranie sa dá jednoducho dostať do adresára so súborom (vetvy v databáze Registry), kopírovať cestu súboru (kľúča) či vyhľadať informácie cez Google. Užitočnou funkciou je možnosť porovnať dva logy, čím hneď uvidíte zmeny, ktoré nastali za isté obdobie. Na odhalenie skrytých objektov je určený integrovaný modul Antistealth.
 
Autoruns
 
Asi by to nebol Microsoft, keby nemal svoj program v každej oblasti informačných technológií. Autoruns síce nie je priamo od neho, ale odkúpil jeho výrobcu a pokračuje sa v jeho vývoji. Po jeho spustení nečakáte takmer vôbec a hneď máte na očiach rozdelené okno na jednotlivé oblasti, kde ale chýbajú procesy. Program umožňuje zmazanie hodnôt z Registry, k súborom nepristupuje. Cez menu sa môžeme preniesť do vybratej vetvy cez RegEdit alebo vyhľadať informácie o súbore na internete cez službu Live Search. Čiže názov hovorí o tejto aplikácii za všetko, poskytne len údaje o spúšťaných súboroch, načítavaných DLL knižniciach a naplánovaných úlohách.
 
Image
 
Process Explorer
 
Tak ako Autoruns, aj Process Explorer pochádza od rovnakého výrobcu, čiže dnes patrí pod Microsoft. Môžeme ho doplniť k Autoruns, v ktorom chýba prehľad procesov. Po spustení vidíme bežiace procesy v stromovej štruktúre, ktorá hovorí o tom, ktorý proces ktorý spustil. Pre vysvetlenie: Všetky aplikácie, ktoré na počítači spúšťate, majú materský proces, cez ktorý boli spustené. Najviac podprocesov má services.exe, pod ktorým bežia jednotlivé služby (services), o čosi menej ich má explorer.exe (Prieskumník Windows), ale môže to byť aj taskmanager.exe (Správca úloh) a procexp.exe (Process Explorer).
 
Image
 
Okrem procesov si môžeme nechať zobraziť podrobnosti, DLL knižnice. Nechýba ani možnosť hľadania DLL knižnice v procesoch. Ak chcete zistiť, aké zaťaženie má váš procesor alebo RAM, program ponúka aj jeho grafické spracovanie, ktoré môžeme preniesť aj do „tray“ oblasti na hlavnom paneli. Farebne sú rozlíšené aj nedávno spustené, systémové a iné procesy. Cez menu môžeme okrem nastavenia priority jednotlivé procesy ukončiť, reštartovať, pozastaviť a dokonca ukončiť celú vetvu.
{moscomment}