Безопасность Windows XP

Безопасность Windows XP

Настройка автоматического запуска программ
Подавляющее большинство компьютерных вирусов, проникнув на ваш компьютер, первым делом обеспечивают условия для последующего запуска своего программного кода. Без этого вирусу никак нельзя. Нравится подобное принуждение разработчику вируса или нет, он все равно обязан запрограммировать этот фрагмент кода. Если его вирус не впишется в те или иные списки автозапуска операционной системы, то гарантированно погибнет после перезагрузки Windows или выключения питания компьютера. Такая "обязательность" в поведении вирусов и позволит нам легко их отлавливать и пресекать последующую активацию в вашей системе.
Мест, из которых программы стартуют самостоятельно, в Windows не так уж и много. С некоторыми из них вы наверняка хорошо знакомы, а о других знаете только понаслышке. Я собираюсь совершить с вами небольшое путешествие по излюбленным местам "гнездования" компьютерных вирусов и рассмотреть, какие меры мы с вами можем предпринять, чтобы сделать условия их жизни на вашем компьютере не слишком вольготными.
Для того чтобы облегчить пользователю контроль списков автозапуска и при этом избавить его от копания в реестре, было написано довольно много программ. О лучшей из них на мой взгляд я и собираюсь вам сегодня рассказать. Называется эта программа Autoruns.

Программа Autoruns
Программа написана известным специалистом по внутренностям операционных систем Microsoft по имени Mark Russinovich в соавторстве с Bruce Cogswell. Программа имеет размер менее одного мегабайта, не требует инсталляции и совершенно бесплатна. Вы можете совершенно свободно скачать ее по адресу www.sysinternals.com. Это не законченный проект, авторы постоянно его развивают, дополняя свое детище новыми возможностями. Текущей версией на момент написания статьи является номер 4.32. Именно о ней и пойдет у нас речь дальше. От версии к версии программа меняется довольно сильно, поэтому не удивляйтесь, если, скачав из Интернет свежий релиз, вы обнаружите, что мое повествование мало похоже на описание имеющейся у вас программы. Тем не менее, основные возможности Autoruns наверняка останутся теми же, что и сейчас, поэтому мои рекомендации все равно наверняка вам пригодятся.
Итак, после того как вы скачаете и запустите программу, сразу сходите в раздел меню, называющийся View, и приведите его содержимое к тому виду, что показан на рисунке. Такие настройки облегчат вам на первых порах анализ выводимой этой программой информации.



Сняв галочку с пункта Show All Location, вы замаскируете большую часть разделов реестра, ответственных за экзотические способы загрузки различных сервисных приложений Windows. На данный момент времени крайне маловероятно, что какой-либо из вирусов впишется в эти списки. Установив галку напротив Only Show Non-Microsoft Entry, вы говорите программе не показывать вам приложения, созданные в корпорации Microsoft. Опять-таки, маловероятно, что эти приложения окажутся вирусами. Тем не менее, держите в голове тот факт, что в указанных режимах работы программы вы видите не все имеющиеся места запуска. В случае появления у вас подозрений о том, что в вашей системе таки орудует какой-то вирус, переставьте эти две галки в обратные положения и на этот раз тщательно изучите уже весь доступный вам список. Подделываться под приложения Microsoft авторы вирусов уже давно не пытаются. Фокус тут заключается в том, что большая часть этих приложений считается операционной системой критически важными для ее функционирования. Обнаружив модификацию подобных файлов, Windows 2000/XP восстанавливает их исходное содержимое из своего архива или дистрибутивного диска. Таким образом, Windows по простоте душевной самостоятельно уничтожает непрошеных "имитаторов". Если же авторы вирусов не перезаписывают оригинальные приложения Microsoft, а кладут вирусы в какую-либо другую, соседнюю папку, то это тоже сразу заметно для опытного взгляда в списке Autoruns или обычном Диспетчере Задач. Все программы из дистрибутива Windows располагаются в своих, строго определенных папках. Запуск стандартной программы из "чужой" папки выглядит довольно подозрительно и сразу бросается в глаза.

Для начала давайте подробно разберем информацию, выводимую на экран программой, и посмотрим, как она поможет нам оценить происхождение тех или иных автоматически стартующих файлов. Интерфейс программы довольно несложен и стандартен для такого рода утилит. В центре экрана расположено двухуровневое дерево. На первом уровне дерева перечислены все известные программе места, откуда теоретически возможен запуск программ в Windows. В том случае, если список расположен в реестре, в качестве иконки для папки дерева используется значок реестра, внешне похожий на взрывающийся кубик Рубика. В случае, если отображаемый список является обычной папкой на диске — например, привычной всем папкой автозагрузки, то в роли иконки и выступает не менее привычный значок папки. Вторым уровнем дерева, а именно элементами папки списка автозапуска, выступают сами программы, стартующие из этой папки. Перед каждой программой расположен квадратик поля выбора. Вы можете, щелкнув мышью по этому квадратику, снимать или ставить в нем отметку-галочку. Если вы поставите в квадратике галочку, программа, к которой он относится, будет автоматически стартовать вместе с операционной системой. Если снять галочку с этого поля, программа хоть и останется в этом списке, но автоматически запускаться уже не станет. Если вы не уверены в том, можно ли без ущерба для операционной системы отключить ту или иную программу, попробуйте для начала снять с нее галочку. Если после перезапуска Windows выяснится, что функциональность отключенной программы вам необходима, можете повторно запустить Autoruns и разрешить программе стартовать автоматически, вернув на место относящуюся к ней галочку.

Следующим элементом за полем временного отключения программы идет ее иконка. С ее помощью вы можете быстро оценить тип запускаемого приложения. За иконкой следует название программы. Обратите внимание: название программы и название файла программы — это совершенно разные вещи, хотя они могут и совпадать. Название программы заносится ее разработчиком в специальную структуру внутри исполняемого файла. В дальнейшем даже если вы переименуете сам файл название программы останется прежним. В том случае, если разработчик оставил это поле пустым в момент компиляции программы, она автоматически получает имя, совпадающее с именем ее исполняемого файла. Следующее поле таблицы Autoruns озаглавлено Description. Оно также заполняется (или не заполняется) разработчиком на этапе создания программы. В этом поле принято давать краткое описание назначения программы. Тем не менее, автор программы волен оставить это поле пустым или и вовсе написать все, что ему придет в голову. Очередное поле списка озаглавлено Company. Еще одно необязательное поле, подобное рассмотренному нами выше полю Description. Обычно в нем принято писать название компании, выпустившей этот программный продукт.

Последнее не рассмотренное еще нами поле в списке автоматически запускаемых программ называется IMAGE PATH. В нем указан полный путь до запускаемого файла программы, то есть место на диске, в котором операционная система ищет программу для того, чтобы ее запустить. Для нас как пользователей этот параметр особенно важен. Зная место на диске, где находится заинтересовавшая нас программа, мы можем проверить ее с помощью антивируса, да и просто "сходить" в ее папку и на месте "посмотреть" на подозрительную программу с помощью шестнадцатеричного редактора. Если эта программа окажется вирусом, мы знаем, какой именно файл следует стереть для того, чтобы он нас больше не беспокоил.
Как я уже говорил выше, название папки, из которой стартует программа, поможет нам выявить вирусы, маскирующиеся под стандартные системные утилиты, сервисы и библиотеки, входящие в комплект операционной системы. Например, WINDOWS EXPLORER, отвечающий за сам интерфейс пользователя Windows, всегда расположен в папке C:\WINDOWS. Файл с этой программой называется EXPLORER.EXE. Если вы вдруг обнаруживаете, что у вас на компьютере эта программа стартует из папки, скажем, C:\WINDOWS\ SYSTEM32, то это уже достаточно серьезный "звоночек" о том, что в вашей системе, возможно, действует компьютерный вирус. Я бы на вашем месте поближе познакомился с таким нововведением в моей операционной системе. О том, как это сделать, у нас пойдет речь чуть ниже.

Древообразный интерфейс экрана программы на самом деле обманчив. В том случае, если вы щелкнете мышкой по ветви этого "дерева", ожидая, что ветвь свернется, ничего подобного не произойдет. Вместо этого стартует редактор реестра и самостоятельно установится на ветвь, соответствующую выбранному вами списку автозапуска. Эта возможность предоставлена для того, чтобы вы в сложных случаях могли вручную проанализировать ее содержимое и принять нужное решение. Если вы щелкнете мышкой по строчке с названием программы, откроется конкретная запись в реестре, приводящая к запуску этой программы.

Помимо вышеуказанных возможностей, каждая строчка в окне запускаемых программ имеет контекстное меню, вызываемое правой кнопкой мыши. Давайте рассмотрим предназначение содержащихся в нем пунктов. Пункт, озаглавленный Delete, предназначен для удаления из реестра записи об автоматически стартующей программе. Сама программа при этом не удаляется, поэтому, прежде чем стирать из загрузки упоминание об очередном подхваченном в Интернет вирусе, предварительно сохраните где-либо информацию о том, в каком именно файле он находится. Вы, наверно, меня спросите, а почему бы вам просто сначала не стереть сам файл, а уж потом удалить запись о его загрузке. Тут не все так просто. В том случае, если вирус прописан в списке автозагрузки вашего компьютера, это автоматически означает, что он активен в тот момент, когда вы готовитесь его удалять. По принятому в Windows правилу файлы запущенных программ блокируются. Их нельзя удалить, так как система не даст вам доступа на эту операцию. Существуют два простых способа выкрутиться из данной ситуации. Во-первых, вы можете, нажав Ctrl-Alt-Del, вызвать Диспетчер Задач. Переходите на вкладку Процессы и ищете в списке процессов вирус по имени его файла (имя файла мы посмотрели с помощью Autoruns). Нажимаете Завершить процесс, этим самым выгружая из памяти активную сейчас копию вируса. После этого можете спокойно удалить файл на диске. Иногда этот способ не проходит, так как вирус может успеть восстановить себя в памяти, пока вы добираетесь до файла с его содержимым. Существуют вирусы, которые прописывают в списке автозагрузки несколько своих копий под разными именами. Каждая из этих копий следит за здоровьем своих "коллег", и, если с ними что-либо случается, перезапускает их исполняемые файлы. Дуэль с подобными вирусами довольно интересна для профессионала, но столь же трудна для новичка. В качестве попутного анекдота расскажу вам историю про попавшийся мне однажды забавный вирус. Он отслеживал запуск программы Regedit и никак себя не проявлял до тех пор, пока вы не подбирались с его помощью к веткам реестра, ответственным за автозапуск приложений. После этого вирус брал и закрывал приложения Regedit'a, таким образом не давая исправить список автозагрузки. Второй предлагаемый мной способ избавиться от активного в системе вируса куда более прост и нетороплив. Просто запоминаете, как называется файл вируса и папка на диске, в которой он расположен. Удаляете (или блокируете) его стартовую запись с помощью Autoruns и перезагружаетесь. После того как компьютер снова стартует, вирус уже не получает управления, и вы можете спокойно разбираться "по-свойски" с хладным трупом его файла.

Рассказывая о том, что вам делать с обнаруженным вирусом, я чуть было не забыл о самом главном — о том, а как, собственно говоря, вам отличить обычные добропорядочные программы, стартующие при каждом запуске Windows, от вирусов, которые затесались в их стройные ряды. Давайте прямо сейчас на живом примере установленной на моем компьютере операционной системы посмотрим: а нет ли чего лишнего в ее списках автозагрузки. На прилагаемой иллюстрации изображен экран программы Autoruns, запущенной на ноутбуке, работающем под управлением Windows XP. Серым цветом отмечены списки автозапуска Windows XP, в которые не занесены какие-либо программы. Белым цветом выделены программы, запускающиеся на этом компьютере в автоматическом режиме. Таких программ оказалось всего две. Первая стартует из ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Называется она TPTRAY. Как видим, написана эта программа в фирме IBM Corp. В ее свойства производителем занесен комментарий о том, что эта программа является некоей "IBM ThinkPad Tray Utility". Расположена она в папке C:\Program Files\ThinkPad\Utilities, а ее исполняемый файл называется TP98TRAY.EXE. По совокупности данной информации я легко могу догадаться, что речь идет о панели управления режимами работы ноутбука, иконка от которой висит в трее рядом с часами. Я действительно ставил эту программу и активно ее эксплуатирую, поэтому ее запуск вполне закономерен и легитимен. Другой вопрос, что под видом этой утилиты на мой компьютер могла бы вписаться какая-либо другая программа. Но в этом случае в списке автозагрузки присутствовали бы уже две копии программы — поддельная и настоящая — или я бы не увидел иконки рядом с часами. Дополнительно убедиться в том, что программа является именно той, за которую себя выдает, можно вызвав ее свойства из контекстного меню списка Autoruns.



Щелкаете правой кнопкой мыши по заинтересовавшей вас программе и выбираете в появившемся меню пункт Properties. Перед вами появится стандартное окно свойств файла Windows. Наиболее ценной для вас информацией в этом окне являются три имеющиеся здесь даты. У всех трех дат названия плохо отражают то, что они действительно означают. Поэтому я прокомментирую их названия для вас еще раз и более подробно.
Первая дата, называющаяся Создан, на самом деле означает дату инсталляции программы — ту самую, когда вы впервые установили приложение на диск. "Создан" с точки зрения Windows означает создание программы на подведомственной ей территории, а не создание самого файла программистом. Вторая дата под названием Изменен и означает реальную дату создания файла программистом. "Изменен" в данном контексте означает дату изменения внутреннего содержания файла. То есть программист откомпилировал приложение, файл изменился, дата изменилась вслед за ним. Если вирус изменит этот файл, вписываясь в его тело, он также изменит эту дату.

Впрочем, если автор вируса достаточно грамотный программист, то в момент заражения он сначала запоминает исходную дату программы, вписывает код своего вируса в ее тело, а затем восстанавливает исходную дату. Поэтому особо доверять этому признаку нельзя, хотя следует его учитывать при анализе. Я вам рассказываю об этом нюансе с датами модификации файла потому, что в своем подавляющем большинстве авторы вирусов грамотными программистами не являются. Они часто забывают (или вообще не думают) о том, что следует помнить о таких "мелочах", на чем и благополучно "горят". Как метко заметил кто-то из древних, внимание к мелочам — основа любой магии. Третья дата, называющаяся Открыт, означает время последнего запуска программы, т.е. время, когда эта программа стартовала на вашем компьютере в последний раз. Анализируя значение этой даты, следует учитывать, что эта функция слежения за доступом к файлам может быть отключена пользователем, т.к. постоянный контроль данного параметра замедляет дисковые операции Windows NT/2000/XP/2003. Помимо дат файла, внимательно проглядите на этой закладке описание программы, посмотрите, имеет ли эта программа свою иконку. Затем переключитесь на соседнюю закладку, называющуюся Версия. Там изучите имеющуюся информацию об авторских правах, реальном названии программы и ее версии. Мало кто из авторов вирусов затрудняет себя заполнением этих полей в своих творениях. Да и вообще подделка вируса под конкретное приложение встречается довольно редко. Как вы понимаете, утилита управления ноутбуками IBM, запущенная на вашем домашнем компьютере, смотрелась бы довольно странно и наверняка сразу привлекла бы ваше внимание. Поэтому программы-вирусы как правило "обезличены", и указанные поля у них не заполнены.

Давайте подведем мини-итог нашему частному расследованию происхождения программы в моем примере. Согласно собранной нами информации, программа TP98TRAY.EXE создана 25 июля 2001 г., установлена мной на компьютер четыре дня тому назад и запущена системой полчаса тому назад. Все три даты выглядят вполне реалистично и примерно соответствуют дате выпуска программы и времени ее установки на мой компьютер. Согласно полям свойств исполняемого файла, мы имеем дело с утилитой, управляющей режимами работы ноутбуков IBM. Все вместе похоже на правду, но в том случае, если вы все равно сомневаетесь в ее происхождении, побайтово сравните исполняемый файл, находящийся в папке, из которой стартовала исследуемая программа, с одноименным файлом, находящимся в дистрибутиве драйверов IBM. Для этого можно воспользоваться командой fc /b [имя первого файла] [имя второго файла]. Если оба файла одинаковы, вы получите стопроцентную гарантию того, что программа не поддельная.

Разобравшись с первой программой, стартующей на моем ноутбуке, давайте теперь посмотрим, что собой представляет вторая. Согласно информации Autoruns, мы имеем дело с командным файлом, лежащим в корне диска D (а именно D:\setupxppower.cmd). Запуск этого файла производится из обычной пользовательской папки автозагрузки C:\Documents and Settings\German\Start Menu\ Programs\Startup с помощью ярлыка setupxppower.lnk. В этом случае все намного проще. Командный файл (расширение .cmd) изнутри представляет собой обычный текстовый файл, который при желании можно просмотреть в Блокноте. У меня такого желания нет, так как я и так хорошо помню, как я его писал и ставил в папку автозагрузки. На моем ноутбуке IBM ThinkPad 760ED этот файл отключает режим Standby под Windows XP, так как под этой операционной системой он работает не очень хорошо.
Таким образом, я проверил автоматически загружаемые на моем компьютере программы и вирусов среди них не обнаружил. А на вашем компьютере как обстоят дела?

(с) Герман Иванов
Продолжение следует


компьютерная газета


Компьютерная газета. Статья была опубликована в номере 39 за 2004 год в рубрике soft :: ос

©1997-2024 Компьютерная газета