пятница, 9 декабря 2011 г.

Из Презентации Black Hat_Как работает Process Monitor (продолжение)


Как работает Process Monitor (продолжение)
Мониторинг реестра
Для Windows 2000, Windows XP 32-bit: хуки системных вызывав
Для Windows XP 64-bit, Server 2003 и Vista: обратный вызов реестра
Мониторинг файловой системы
Драйвер файловой системы
Загрузка образов
Обратный вызов менеджера памяти загрузки образа
Процесс/поток создание/завершение
Обратный вызов процесса/потока ядра
TCP/IP
ETW события, созданные TCPIP.sys

Классы событий

Файловая система (Filemon)
Включая команду I/O и детали ввода и вывода
Реестр (Regmon)
Включает все данные (первую 16-битную часть REG_BINARY и первые 2048 байт для остальных типов)
Процесс
Создание и завершение процессов
Создание и завершение потоков
Загрузки образов, включая драйвера
Сеть
Трассировка сети
Профилактики
Вспомогательные инструменты для создания снимков процессов


Свойства события
Детали события
Продолжительность, процесс, поток, детали и тому подобное
Информация о процессе
Командная строка
Пользователь
Сессия и вход в сессию
Образ информации
Время начала
Стек потока на время события



Фильтрация
Чтобы отфильтровать какое-то значение, кликните правой кнопкой по линии и выберете атрибуты и из Include (включить), Exclude (исключить) или Highlight (выделить цветом)
Вы можете выбрать несколько свойств одновременно
Когда у Вас установлен фильтр «выделить по цвету», Вы можете двигаться по выделенным свойствам события

среда, 7 декабря 2011 г.

Атаки на инфраструктуры_Электроэнергетика

Для меня настала жаркая пора. Так что прошу прощения за нерегулярное обновление блога и немного видоизменнеую тематику, но как бы там ни было, говорить будем о жизни в информационном обществе, о том, откуда можно ожидать угроз, связанных с процессорной техникой. Именно процессорной и сетевой.
Начиная этот блог я рассказывал о нарушении в работе сетевого района. Не прошел и год, как я снова вернулся к тематике кибер-атак на объекты инфраструктуры, и соответственно теме книги, послужившей идеи блога.
Мы уже теоретически можем оценить вред, нанесенный кибер-атакой инфраструктуре. Почему-то в России исследований относительно кибер-безопасности энергосетевого комплекса я не нашел. В то время, как энергетика является основой нашей сегодняшней цивилизации – исправьте меня, если я неправ. (Более подробно о кризисе, связанном с системными авариями на объектах энергетики я планирую рассказать в рамках моего нового блога, так что множите следить и за ним, но его тематика более специализированная, хотя я и планирую оформить его в виде повести, где основной линией будет любовь, естественно главного героя к главной героине, но обо всем по порядку).
Итак, у нас есть лампочка, которая освещает ночную темноту, есть розетка от которой заряжаются ноуты, телефоны либо же работают стационарные компьютеры. За потребленную электроэнергию производится расчет по счетчику, собственно говоря, больше про электричество и знать-то не за чем, ну нужно иметь и номерок ремонтников – вот и все.
Как я говорил выше, исследования относительно кибер-безопасности электрических сетей не проводились, поэтому давайте посмотрим, откуда может придти угроза:
  • Потеря управления сетью по причине либо полного выхода сети из строя, либо же фальсификации данных между оборудованием и центром управления
  • Проблемы на потребительском уровне возможны из-за фальсификации данных с базы
  • Изменены параметры станций для электрифицированного транспорта, изменение параметров зарядки аккумуляторов
  • Конфиденциальность данных нарушений, как личные, так и корпоративные. Возможна кража как личных данных, так и корпоративный шпионаж, физические угрозы безопасности (например, если известны какие дома пустуют), и террористической деятельности (например, через для изучения наиболее загруженных линий электропередач)
Данные не вымышлены, взяты из докладов Массачусетского технологического института. С полной уверенностью могу сказать, что для России угрозы аналогичные. Крайние три угрозы являются общими для инфраструктуры, что же касается первой – на ней задержимся более подробно, но чуть позже.

пятница, 11 ноября 2011 г.

Из мыслей о фантастике_ предапокалипсис

Лично мне крайне не понятно, почему всегда «закат» цивилизации наступает от ядерной бомбардировки. По этому поводу в свое время очень здраво высказался Аркадий Стругацкий, сняв все диспуты на эту тему, не дав им даже зародиться. Прошло время, больше нет с нами Аркадия Натановича, некому остановить растущий по цепной реакции ком демагогии на тему ядерного ужаса. Встречаются хорошие книги, но они, скорее исключение. Хорошо уже то, что человечество все же задумалось о последствиях игры с мирным (?) атомом, задумалось массово, но как-то слишком рьяно, что не вольно возникают мысли, а вдруг что, что тогда? Опасность же гораздо ближе, чем кажется.
Самая же фантастика, как жанр литературы, давным-давно утратила свою ветвь, из-за которой автор этих строк, собственно говоря, и увлекся фантастикой – нет в современной литературе научной фантастики, боевая есть, кибер-панк есть, постапокалипсис тоже есть и очень популярен и прочие-прочие подвиды, формирующие современную мифологию, а научная почему-то стала не актуальной и скучной.
Хотя причиной такого спада, лично я считаю, реформу образования, хотя не исключено, и обратное из-за отсутствия качественной научной фантастики, призванной популяризировать науку, подрастающие поколение отдает предпочтение магии и колдовству: взмахнул волшебной палочкой, и отпала необходимость изобретать велосипед.
Разработки в области не боевой фантастики тоже ничего хорошего не дают, но интересное наблюдение: все меньше людей, служивших в рядах вооруженных сил и все больше знатоков военного искусства, оружия, тактики и стратегии, рукопашного боя – вопрос: откуда? Вот и получается, что писать надо «либо про то, что очень хорошо знаешь, либо про то, что не знает никто». Вот и пишут многие с надеждой, что темой никто не рулит, и только единицы, зная ее досконально. Но от этого мир глобальных катаклизм дальше не становится. Быстрее, наоборот – приближается.

На мой взгляд наиболее интересным будет является жанр фантастики, описывающий непосредственно период до катастрофы. Сама катастрофа – сотые секунды, но это те секунды, которые коренным образом меняют расстановку сил, как действуют люди в тот, момент пока ничего не ясно? И какая именно техника техногенной катастрофы, как она создается, как выходит из-под контроля, как развивается, ликвидируется – лично я на эту тему пока встретил только книгу, давшую толчок этому блогу.

среда, 9 ноября 2011 г.

Mark's blog. Подготовка к кибер-атакам

Пара слов от переводчика.

Статья Марка Руссиновича (оригинал можно посмотреть здесь) взяла за живое.
Комментарий к тексту будет не большим: дата публикации - сентябрь, страна - США, т.е. если по тексту идет "наша страна", то понимайте так "Соединенные Штаты Америки". В данном случае (как стараюсь при любом переводе) не трогал текст, а просто его переводил. Так что приятного чтения. Да прибудет с вами сила в понимании этого мира.

Пост

рисунок Тима Фолей


Мир все больше и больше начинает завесить от компьютеров, и системы, обеспечивающие жизнедеятельность в нашей стране, исключением не являются. Отключение электроэнергии, нарушения в пищевой промышленности, угрозы связанные с водоснабжением или снижения индексов фондовых бирж приводят к серьезному экономическому ущербу, зачастую даже к смерти людей.

В электрических сетях компьютеры применяются для осуществления мониторинга распределения электрической энергии; графики разгрузок, распределения продовольствия, как правило, храниться в компьютерах; очистные системы осуществляют контроль за содержанием химикатов в воде с помощью компьютеров; банковские и финансовые системы полностью полагаются на компьютеры в своей работе – так как большинство наших денег существует в виде наборов символов в компьютерах, то и мы тоже очень сильно зависим от них.

Угрозы атак на вышеописанные критические значимые для жизни системы исходят от наших традиционных врагов: Китая, Ирана, Северной Кореи, террористов с политическими или религиозными целями, или же одиночек, чем-то недовольных. По многим объективным причинам угроза кибер-атаки гораздо более актуальна, чем угроза физической атаки.

Кибер-атаки можно проводить, пользуясь виртуальной анонимностью, что делает сложным, а подчас и невозможным, вычислить нападавшего и произвести контратаку. Крупномасштабные атаки на физические инфраструктуры требует затрат значительных сил и координацию ими, такая атака довольно дорогостоящая и сложно скрываемая; кибер же атака лимитируется не количеством атакующих, а количеством атакуемых машин, играющих важную роль в процессе жизнеобеспечения.

По этой причине самые очевидные цели: военные министерства – используют самую лучшею политику безопасности и соответствующие программные решения для выполнения этой политики. Но и даже в сети Министерства Обороны были проникновения за последние годы. В 2008 году кибер-шпионы проникли в компьютеры армии, осуществляющие контроль операций в Ираке и Афганистане. За последнее время несколько подрядчиков военных, в их числе Локхид Мартин и Буз Алэн Хамилтон, так же некоторые военные лаборатории признались, что подверглись слежке в то время, как считалось, что их системы проверены и чисты. И это только некоторые известные случаи.

Большинство же критически значимых инфраструктур находятся в частных руках, не под присмотром государства. И если военизированные сети более устойчивые к кибер-атакам, то гражданский сектор – гораздо более легкая цель.

Газетные заголовки крупных компаний от Sony в Citigroup до Automatic Data Processing (ADP) в Aetna пестрят сообщения о проникновениях хакеров в системы компаний. В некоторых случаях компании даже предупреждали, что они подвергнуться нападению, но даже будучи предупрежденными компании не сумели ничего противопоставить атаке. В прошлом месяце, хакерская группа Anonymous объявила о своем намерении атаковать систему Сан-францисской подземки, BART, протестуя против решения о блокировке работы мобильных телефонов. Несколькими днями позже они воплотили в жизнь свои угрозы.

Методы, используемые атакующими для доступа к сетям, разнообразны. Общедоступные веб-сайты, не проверяющие на неверный ввод, только позволяют более в этом убедиться. Если компьютеры, управляющие критически важными секторами инфраструктуры, доступны через такие веб-сервисы, атакующий может найти способ проникновения в эту машину, применяю другие уязвимости и в итоге получить управление инфраструктурой. Ошибочно сконфигурированный фаэрвол, отсутствие антивируса или устаревшие его сигнатуры, слабозащищенный пароль – основные уязвимости, так же как, впрочем, и пользователи, слабоподготовленные в вопросе безопасности.

Одно из слабых мест наших систем – банально плохо написанное программное обеспечение. Программы, разрабатываемые без учета того, что они будут атакованы, не использующие механизмы защиты, только облегчают эксплуатацию таких уязвимостей. К сожалению, некачественные с точки зрения безопасности программы составляют костяк в управлении критически важными частями инфраструктуры, большинство таких программ были созданы до разработки систем кибер-безопасности, что является не маловажным фактором.

Прошлогодняя атака вируса Stuxnet, целью которой, как полагают, били иранские атомные объекты, продемонстрировала все общие принципы. Компьютеры заразились вредоносным кодом, разработанным Израилем, возможно, при участии Соединенных Штатов, выводящем из строя центрифуги, используемые иранской атомной программой. Такое же или похожее на атакованное программное обеспечение применяется в инфраструктуре нашей страны.

Другого рода проблем создается в системах инфраструктур прямо или косвенно подключенных к интернету – создается дистанционный пульт к компьютеру, который они хотят атаковать. Между такой машиной и сетью должен быть создан «воздушный барьер» - компьютер не должен на прямую быть подключенным к сети.

Наконец, отсутствие мониторинга сети, программ обнаружения вторжения позволяет атакующим программам долгое время оставаться незамеченными. Многие из таких вот нарушителей не обнаруженные в течении месяцев, в ряде случаев даже лет – позволяют атакующему получить огромные объемы данных. В недавнем докладе специалистов по безопасности копании McAfee показано, что до обнаружения вредоносные программы сидели в сети Организации Объеденных Наций больше года. И Stuxnet работал около года, пока антивирусная компания не наткнулась на него.

После одиннадцатого сентября стали больше внимания уделять защите критически важной инфраструктуры. Но пока мы осознавали, что компьютеризация критически важных инфраструктурных объектов делает их более уязвимыми, мы уже наделали много ошибок. На Департамент Безопасности возложена ответственность по обеспечению кибер-безопасности критически важных инфраструктур, но даже у такого департамента не хватает полномочий, чтобы диктовать условия в частном секторе.

Из-за громких инцидентов в первой половине года, Конгресс усилил внимание к различным родам рискам, и начал подбирать более серьезную законодательную базу, для ужесточения раскрытия кибер-нарушений. Но предложенный законопроект оказался недостаточно работоспособным. Без фокусирования на проблемах, делающих инфраструктуру столь уязвимой, не возможно добиться успехов.

На современном этапе взаимодействия между частным и государственным сектором не может получиться желаемого результата – если только когда-нибудь. Реализация положенных мер безопасности требует инвестиций при соответствующей квалификации. У частного сектора нет стимулов для добровольной реализации такой политики. Конгрессу необходимо принять закон, наделяющий Департамент Национальной Безопасности более широкими полномочиями для реализации программы кибер-безопасности, включая частные сектора, управляющие критически важными инфраструктурами. Департамент Национальной Безопасности должен не только разрабатывать некий стандарт, но и обладать мандатом и графиками проверок и аудита по исполнению этого стандарта, так же определять меры наказания за его не выполнение.

Регламент – трудная пилюля для любой их отраслей промышленности – особенно в трудные времена экономики – но в истории есть примеры, когда правительство успешно использовало эту меру для обеспечения безопасности без чрезмерного бремени для сектора, которым оно управляло. Хоть все это и используется в политических целях, но в последнее время жесткое регламентирование оправдало себя в таких критически важных частях инфраструктуры как при проведении футбольных матчей, охране окружающей среды, пищевой медицинской промышленности.

Настало время принять кибер-угрозы такими, какие они есть на самом деле.

четверг, 27 октября 2011 г.

Для самых маленьких_ Будущие не за горами

Оружие – оно разное, для одних это снайперская винтовка, для кого-то нож, пистолет, бита или кулаки, ну а для кого-то обычный карандаш является оружием массового уничтожения, для других же – компьютер с выходом в сеть – оружие, с разрушительной силой не меньше ядерной ракеты – все относительно, и никогда нельзя забываться и недооценивать противника. Само наличие оружия не говорит об умении его использовать: Афганистан и многие локальные конфликты это показали. Очень многое зависит от квалификации того, кто взял в руки это оружие.
Данный пост является скорее даже анонсом перевода к статьям из англоязычной прессы – просто наболело, поэтому решил поделиться своими мыслями: сумбурными и без ссылок на первоисточник, скорее все даже наметить план тематики блога на ноябрь месяц, так же хочется проанонсировать повесть, отрывки из которой я здесь размещаю, как только они соответствуют тематике.
Суть же данного поста, скорее всего даже в анекдоте времен перестройки, когда вожди прошлого смотрят на политику Михаила Сергеевича и обсуждают ее: «Владимир Ильич, ты что-то строил? – Да кого там: революция, гражданская война не до того было. – А ты, Иосиф Виссарионович? – Нет, воевали, шпионов ловили. Я вот тоже кукурузу сажал, так что там Мишка вот уже пятый год перестраивает?» Пока мы реформируем образование (и не только – просто реформа образования уже начинает сказываться на качестве подготовке персонала) американцы запускают новую программу обучения кибер-безопасности, приравняв кибер-пространство к земле, воде, воздуху и космосу. Если мы еще имеем шанс собрать боеспособное подразделение для кибер-войны, то лет через пять-шесть (при самом лучшем развитии ситуации) это сделать будет не возможно, при всем моем положительном взгляде на подрастающее поколение – они слабее нас, хотя бы потому, что мы не хотим воспитывать людей сильнее.
Про реформу образования говорить можно бесконечно, но самое маленькое может сделать каждый из нас: ведь многие могут научить нашу смену тому, что в школах не преподавали и в лучшие годы.
Анонс, думаю получился. Да прибудет с нами Сила!

понедельник, 24 октября 2011 г.

Из "Высокого Напряжения". Реакция СМИ на кибератаку

Продолжаю публиковать отрывки из повести с рабочим названием "Высокое Напряжение". Это отрывок показывает реакцию официальных СМИ на технологическую катастрофу, произошедшую из-за сбоя в работе компьютеров

Официальные СМИ транслировали обращение президента к нации. Из более чем получасового обращения выудить какую либо полезную информацию, кроме констатации факта нарушения электроснабжения в масштабах целой страны, повлекшие за собой перебои электроснабжения в близлежащих зарубежных странах, выудить не получалось. Президент говорил много, оперировал какими-то цифрами, прогнозами каких-то аналитиков, одинокого далеких, как от энергоснабжения так и от обеспечения кибербезопасности, но зато хорошо разбирающихся в экономике, звучали какие-то фамилии виноватых, впрочем понять степень вины из-за обилия информации было не возможно. Президент в своем выступлении очень витиевато и долго говорил про то, о чем говорить не стоит и пока не время, что смысл того, про что говорить все же стоит терялся. Складывалось впечатление, что верховный главнокомандующий расписывался в своей некомпетенции, поручая разобраться в обстановке еще более некомптентных людей.
Зато цензура взялась за работу с усиленном рвением, на какое-то время показалось, что фильтруется даже твиттер, хотя официально оставалась свобода слова и печати, но многие статьи, подготовленные серьезными специалистами энергетики и информационной безопасности, увидели свет только в блогах авторов, получив признания и разлетевшись по всему миру.
Пока официальные СМИ рапортовали об успехах топ-менеджеров, силами которых была восстановлена энергосистема страны в рекордно короткое время, что для этого было сделано, какие средства затратились, как скоро они окупятся, неофициальные СМИ, собранные энтузиастами в своих блогах рисовали картину произошедшего, уточнялись сводки погибших и понесенных потерь.

понедельник, 17 октября 2011 г.

Из Презентации Black Hat_Алгоритм лечения машины


Сложного в этом мире нет ничего. Что касательно вычислительной техники, или, как сейчас принято говорить, кибер пространства, то там все задачи оделяться на интересные и не совсем. Лично мой подход таков: возможности человека безграничны, в конкретном месте и в конкретное время они ограничиваются той технической базой, которая доступна человеку, отсюда вывод: что одни человек сделал, другой за всегда сломать может. Только ломать – не наш метод. Мы ко всему подходим конструктивно: главное изучить – да прибудет с нами Сила.
Кибер пространство базируется на теории алгоритмов, от этого не убежать, как бы далеко не шагала вычислительная техника, поэтому все, что есть в мире процессоров, можно алгоритмизировать (естественно, не вдаваясь в подробности каждого конкретного случая – алгоритмы могут быть очень сложными и запутанными). Нас же интересует алгоритм лечения заболевшего компьютера.
Марк Руссинович в своей презентации на BlackHat (о ней я уже начинал говорить) предлагает следующий остаточно простой алгоритм:

Алгоритм очистки машины от вредоносных программ
Отсоединитесь от сети
Определитесь со злонамеренным процессом или драйвером
Приостановите и оборвите идентифицированный процесс
Определите и удалите методы автозапуска вредоносных программ
Удалите вредоносные файлы

А вот реализации конкретных шагов, может быть, кроме первого и завершающего, посвящены сотни тысяч страниц на разных языках мира и с первого взгляда сложно разобраться, стоит ли конкретная статья Вашего внимания.

среда, 12 октября 2011 г.

Расследования. Дело об ошибки установки Run-Time Error

Пара слов от переводчика

Продолжаю публиковать переводы статей системных администраторов. Реальные случаи, реальные проблемы, реальные ошибки, реальное их разрешение, реальный язык. Стараюсь делать переводы «близкие к тексту», сохраняя стиль автора. Так что наберитесь терпения, стиль повествования и перевода будет очень отличаться от обычных постов моего блога, но на смысловой нагрузке поста это никак не сказывается. Учитесь читать «между строк», да прибудет с Вами сила

Пост

Это сделать гораздо легче, чем вылечить – переустановить, и для установки большинства распространенных приложений, используемых компанией, мы используем специальное меню установки, чтобы не рыться по серверам в поисках пакетов и скриптов. Однажды, переустанавливая приложение, наш технический сотрудник натолкнулся на такую ошибку:Installer. Run-time error ‘-2147024770 (8007007e)’: Automation error – The specified module could not be found.”


Через час он позвал меня помочь разобраться в происходящем. С нашей машины я скопировал Process Monitor, запустил его, установил фильтр. Сначала было дело отсутствия модуля, затем, фильтруя результаты, проглядывая активность, а после из Tools > Count Occurrences сделал дальнейшую фильтрацию, чтобы получить результат:
“PATH NOT FOUND” может быть более общий, но просматривать другие результаты, казалось на столь целесообразно:


Это оказалось интересным, так как файл не имел ничего общего с теми приложениями, которые мы поддерживаем. Так как у нас был потерян модуль, то искал я scrrun.dll в более распространенных местах для dll файлов - C:\Windows\System32:


Это запускаемый скриптовый модуль Microsoft, который необходим для запуска Visual Basic скрипта и так же для запуска .exe файлов. Так почему приложение не в состоянии определить местонахождения scrrun.dll? Я предположил, когда trademanager устанавливался, он зарегистрировал scrrun.dll в пути программы (C:\Program Files\trademanager\…). В какой-то момент приложение перестали использовать, возможно, удалили, удалили неправильно, или же удалили scrrun.dll без должной регистрации. Чтобы решить поставленную задачу, я просто запустил команду regsvr32 scrrun.dll, которая должным образом зарегистрирует с папки system32. После этого, приложение запустилось нормально.

Потом, чтобы окончательно разобраться, я поэкспериментировал с trademanager program (AliIM2011_ATM(6.30.11E).exe), установил ее и проверил, что, когда scrrun.dll удаляется вместе с модулями программы, обратно в папке system32 scrrun.dll не регистрируется.

вторник, 11 октября 2011 г.

Mark's Blog. Дело о тайных перезагрузках


Пара слов от переводчика:
Перезагрузка системы – довольно интересный трюк. Первый раз с ним я столкнулся в студенческие годы, я не имею ввиду проблемы с системой, а именно из-за хулиганских действий, когда один мой знакомый подкладывал красивым девушкам «свинью»: тогда он руками в реестре писал рандомную перезагрузку системы (и ведь считал себя крутым знатоком операционной системы), ну да время все расставило на место. Хотя специалист он железе хороший, но hard и soft немного разные вещи. И анонсируя пост Марка Руссинович, хочу сказать: Знайте свои сильные и слабые стороны и применяйте их целью создать, а не разрушить, да прибудет с Вами Сила!
Пост
Данное дело началось тогда, когда продвинутый пользователь, имеющий опыт работы Sysinternals, работающий системным администратором в большой корпорации, получил от своих друзей сообщение, что их ноутбук не пригоден к эксплуатации. Дело было в том, что всякий раз, когда ноутбук подключался к сети, он просто уходил на перезагрузку. Наш опытный пользователь и герой данного дела, добравшись до этого ноутбука, первым делом решил проверить его поведение, подключив к беспроводной сети. Система внезапно перезагрузилась, сначала в безопасном режиме, потом снова в нормальном. Наш пользователь попробовал перезагрузить ноутбук в безопасном режиме, надеясь, что причина такого его поведения будет неактивной в этом режиме, но вход в систему (logging) получался только в результате автоматического выхода (logoff). Перезагрузившись в нормальный режим, он заметил, что Microsoft Security Essentials (MSE) установлен и пробует запуститься. Двойной клик по иконке результата не дал, а двойной щелчок по входу в Программах на панели управления выдал вот такое сообщение:
 







Наведение же курсора мышки на иконку MSE в меню Пуск объяснило эту причину: ссылка указывала на файл с большой степенью вероятности вредоносный:






Доступа в сеть не было, поэтому он не мог легко восстановить поврежденный MSE. К счастью Sysinsternals инструменты могли помочь, он скопировал Process Explorer и Autoruns сначала на флэшку, затем на ноутбук, в инфекции которого наш пользователь не сомневался. Запущенный Process Explorer приветствовал нашего пользователя вот таким деревом процессов:








В своей презентации для Blackhat «Удаление вредоносных программ Нулевого Дня с помощью Sysinternals» (я начал перевод этой увлекательной презентации, вот ссылка на то, что уже сделано - ArkSmoke) я показываю список общих характеристик вредоносного процесса. У них нет собственной иконки, имени компании или описания, размещаются в %Systemroot% или %Userprofile% папках и упакованы (зашифрованы или сжаты). Хотя, на самом деле, есть очень извращенные программы, у которых нет этих признаков, но все же большинство вредоносных кодов их имеют. Данное дело – великолепный того пример. Process Explorer просматривает подписи распространенных инструментов для сжатия, таких как UPX, используя эвристику, чтобы определить движок, с помощью которого происходило сжатие файла, и отображение цветом. Цвет по умолчанию – фукция (признаться, названия этого цвета не знал, но приведу его параметры: f754e1 или же 247, 84, 225 – в RGB - ArkSmoke), подсветил с дюжину процессов в просмотрщике процессов. Так же, в подсвеченных процессах отсутствуют описания, имена компаний (хотя, у некоторых процессов есть иконки).
Многие из имен этих процессов совпадают с легитимными именами, используемыми Windows. У одного из нижеприведенных подсвеченных процессов имя используемого Windows процесса - Svchost.exe, и иконка, заимствованная у Adobe Flash, и в довесок не стандартная папка размещения: C:\Windows\Update.1:






У других процессов имена, не используемых Windows процессов, но вот это имя - Svchostdriver.exe вполне способно завести в ступор кого угодно, кто не так близко знаком с устройством Windows. В действительности же процесс устанавливает TCP/IP сокет соединение, предположительно для связи с ботнетом:






В действительности же не осталось сомнений, что машина жестко заражена. Autoruns вредоносные программы, используя несколько различных точек активации, и объяснил, почему должным образом не работает даже Безопасный Режим с поддержкой командной строки. Причина - Services32.exe (еще один процесс с именем, похожим на легитимное), зарегистрировалась в безопасном режиме в AlternateShell, где по умолчанию стоит Cmd.exe (командная строка):






Мой совет, чтобы очистить машину от вредоносных программ, первым делом надо воспользоваться утилитами для уничтожения вредоносных программ, если есть такая возможность. Защиты от вредоносных программ могли бы решить вопросы с инфекциями, почему бы не поработать им, если у Вас не получается? Но система не могла подключиться к интернету, не давая возможности легкого лечения, установив MSE, или другие защиты от вредоносных программ на подобие Microsoft Malicious Software Removal Tool (MSRT). Герой нынешнего дела видел, как я на конференции Process Explorer’ом приостанавливал выполнение вредоносных процессов, чтобы они не запускали другие, мешая вылечить машину. А может быть, если он приостановит выполнение всех подозрительных процессов, появится возможность подключиться к сети без перезагрузки системы? Игра стоила свеч.
Кликая правой кнопкой мыши по каждому подозрительному процессу, он выбирал из контекстного меню Suspend (приостановить), чтобы «подвесить» процесс:






Когда все было сделано, дерево процессов выглядело как на картинке ниже, с помеченными серым цветом приостановленными процессами:
 





Теперь же, чтобы посмотреть, прошла ли его хитрость, он подключился к беспроводной сети. Бинго, машина на перезагрузку не ушла! Сейчас она была в сети, он скачал MSE, установил его, и начал сканировать систему. Программа работал довольно долго. Когда же она закончила, выдала четыре штампа: Trojan:Win32/Teniel, Backdoor:Win32/Bafruz.C, Trojan:Win32/Malex.gen!E и Trojan:Win32/Sisron:






После перезагрузки, в этот раз она прошла видимо быстрее, чем обычно, машина подключилась к сети без всяких проблем. Делая контрольный выстрел, наш сегодняшний герой запустил Process Explorer, посмотреть остались ли какие-нибудь подозрительные процессы. Дерево же процессов выглядело девственно:






Еще одно дело разрешилось благодаря инструментам Sysinternals! Новое «Руководство администратора Sysinternals», написанное мной в соавторстве с Айроном Маргисом, описывает все утилиты в мельчайших деталях, раскрывая перед Вами технические возможности решения проблем, связанных медленной загрузкой и обманчивыми сообщениями об ошибках, и возможность разобраться в аварийных дампах (данная книга – мощный инструмент, для практического освоения лечения машин, про книгу я говорил, и, думаю, скажу еще много раз – так что следите за обновлениями - ArkSmoke). Если же Вы интересуетесь компьютерной безопасностью, то обязательно приобретите технотриллер «Нулевой День».

вторник, 4 октября 2011 г.

Из Презентации Black Hat_Process Monitor I


Честно сказать, у меня давно уже была задумка сделать тезисное описание основных программ, с которыми работаем, читаю блоги марка Руссиновича, но марк сам сделал всю эту работу осталось только перевести. Очередной раз спасибо Марку.
Сегодня я подготовил краткой описание Process Monitor, взятое из презентации Марка Руссиновича на Black Hat.

Process Monitor
Process Monitor – программа для мониторинга файлов, реестра, процесса и потоков в режиме реального времени
Он заменяет Filemon и Regmon
       • Более расширенная фильтрация
       • Операция со стеком вызовов
       • Протоколирование загрузки
       • Просмотры анализа данных
Когда сомневаешься, грузи Process Monitor
       • Он покажет, что вызвало причину ошибки
       • В большинстве случаев указывает причину низкой производительности
Как работает Process Monitor
Process Monitor использует драйвера устройства
        • Добавляет драйвер в \Windows\System32\Drivers
        • Устанавливает драйвер
        • Удаляет файлы драйверов
Запрашивает «Отладчик Программ» с правами пользователя
       • Первый запуск запрашивает «Грузящийся Драйвер» с правами пользователя

Как работает Process Monitor (продолжение)
Мониторинг реестра
       • Для Windows 2000, Windows XP 32-bit: хуки системных вызывав
       • Для Windows XP 64-bit, Server 2003 и Vista: обратный вызов реестра
Мониторинг файловой системы
       • Драйвер файловой системы
Загрузка образов
       • Обратный вызов менеджера памяти загрузки образа
Процесс/поток создание/завершение
       • Обратный вызов процесса/потока ядра
TCP/IP
       • ETW события, созданные TCPIP.sys

Это слайды 41-46. Надеюсь, вы нашли для себя что-то полезное и сильно не перегрузил иняормацией.

среда, 21 сентября 2011 г.

Из "Высокого Напряжения". Забавный Макрос


Осень: хандра, тоска, слабые убеждения себя, что все еще будет хорошо. Правда, не совсем понятно, что все, и как именно, но в чем-то же себя убеждать надо. Особенно осень хороша тем, что наваливается все и сразу: еще тепло, но уже мокро, туманы, но разноцветные краски, вечера длинные и бестолковые. Вот бестолковые ли?
Обеспечение безопасности само по себе дело серьезное – нервное напряжение становится нормой жизни, но, как нас уверяет реклама: «привычное не значит нормальное». Вот тоже не совсем понятно употребление слова «норма» в данном контексте, но это мои личные лингвистические заморочки, которые к обеспечению безопасности не имеют никакого отношения – опять душой покривил. Закон: «Когда занимаешься безопасностью, все должно быть четко, лаконично, однозначно». Никаких чтений правил между строк!
Но весь этот монолог я веду вот к чему: как я уже писал, без юмора в нашей жизни никуда. Работая над повестью (рабочее название «Высокое напряжение»), пришел к выводу, что без юморных сцен повесть будет просто нечитаемая – любой читатель просто умрет от скуки, поэтому анонсирую одни из рабочих эпизодов своей большой повести, надеюсь на понимание и комментарии.
Да прибудет с Вами сила. С уважением Ваш ArkSmoke
…вещь была совершенно безвредная, с алгоритмом школьной программы, написать такой код мог любой, вот только писали его единицы, а особо извращенные особы, начинавшиеся К.Касперски, автоматизировали этот процесс, «юзая» обычнее малокому известные особенности Word’а. Так вот, код, сделанный на уровне макроса, выводил на печать не тот документ, что отображался на экране, а немного другой: заменял он все пробелы на матерные слова, вставляемые в произвольном порядке. Безобидная программка, если такой документ не попадал к преподавателю в руки, только люди у нас, как правило, читать не любят, что сдают на проверку – много тогда забавных таких казусов получилось. Самая главная прелесть этой программки в том, что ну не видят ее антивирусы – сам «юзер» наш ушастый ее запускает. Был в то время у меня функционал, позволяющий этому коду распространятся по локальной сети. Можете себе представить, что в общежитии тогда моем творилось, когда вышел этот код в свободное плавание – вот и сейчас вспомнил я про флэшку своей студенческой юности – настало время потрудится всему, что было заточено взаперти цифрового носителя.

четверг, 1 сентября 2011 г.

Для самых маленьких. Что мы знаем о диспетчере задач. Часть I

В рамках цикла "Для самых маленьких" и начала нового учебного года, начинаю размещать в блоге информацию, призванную дать начальную площадку для самостоятельного изучения операционной системы. Изучение начинаем с самого основного в Windows системе инструмента Диспетчера Задач.

Буквально несколько часов назад я высказал мысль, что чем больше что-то знаешь, тем становится интереснее и понятнее, насколько мало и поверхностно ты знаешь объект. Сначала фразе этой значения я не предал – мало ли что можно сказать, общаясь в социальных сетях. Потом фраза эта и идея – в общем-то далеко не новая – стала грызть все сильнее. В общем-то да, чем больше мы узнаем о каком-то объекте, тем больше становится длина окружности, соприкасаемся с неизвестным – тоже давно понятая истина. Но, как известно, мысли материальные: поселившись в голове, покоя они точно не дадут. Поэтому, совершенно не собираясь, сегодня обновлять свой блог, я засел за чтение литературы. Фантастической, но очень увлекательной, что поделать: мы живем свой жизнью – мысли – своей.
Фантастика меня переключила на немного другой лад, вытащив из глубины сознания, давнюю идею – дать характеристику основных утилит, которые часто описываю, говоря о работе Марка Руссиновича. Благо, думать уже не надо – все описание приведено в книги Windows Sysinternals Administrator’s Reference, о ней я уже упоминал в этом блоге – поэтому, сейчас я приведу характеристики программ:
Process Explorer заменяет диспетчер задач, отображает значительно больше подробностей о процессах, потоках, включая родительские/дочерние связи, загруженные динамические библиотеки (DLLs), открытые как файлы дескрипторы.
Process Monitor протоколирует в реальном времени все тонкости активности работы файловой системы, реестра, сети, процессов, потоков и образов.
Autoruns собирает в списка и классифицирует все программы, которые автоматически конфигурируются систему при загрузке, позволяет отключить или удалить точки входа.
И вот тут мысль о неизвестности в обыденных вещах всплыла на первое место и больше не оставляла голову. Вы причину не увидели? Тогда считайте внимательнее:
Process Explorer заменяет диспетчер задач, отображает значительно… А теперь уловили идею? Да-да, именно в «заменяет диспетчер задач». А много ли мы знаем о диспетчере задач? Никогда не думали, на сколько процентов Вы задействуете его потенциал? Вот, к примеру, этот скрин сильно отличается от Вашего привычного окна диспетчера задач:


Конечно, иметь под рукой более мощный инструмент всегда приятно, особенно зная, что профессионализм – это в том числе и грамотно подобранные инструменты. Ключевое слов грамотно – никому же в голову не придет охотится за комарами с Автоматом Калашникова, а атаковать вражеские позиции с мухобойкой наперевес. Так и вот инструмент должен соответствовать багажу знаний его применяющего и, естественно, поставленной задачи. Так что прежде чем брать мощный функциональный инструмент подумайте, а не расстроит ли он Вас, как Вини-Пуха длинные слова? Да прибудет с Вами сила.

пятница, 26 августа 2011 г.

Расследования. Дело о поврежденном скачивании

Пара слов от Автора блога (ArkSmoke)
Как и обещал, начинаю менять тематику блога, вернее не столько менять, сколько расширять ее, а вместе с ней, надеюсь и кругозор своих читателей. У меня есть еще пара идей о наполнении блога, но сейчас я хочу показать, как люди, используя программы Марка Руссиновича, решают реальные проблемы с реальными объектами.

Но напомню еще раз, теория без практики ничего хорошего не даст, а пока изучайте дело о повреждении при скачивании файлов, думаю системным администраторам эта тема очень пригодится -- да прибудет с Вами сила.

Данный пост взят от суда. К этому сайту я еще буду возвращаться.

Дело о поврежденном скачивании


Следующая ошибка возникала, когда пользователи внутренней сети пребывали установить самый свежий Flash Player от Adobe: «Internal errorABORT: Certificate authentication failed, please re-install t correct the problem. (/0)»

8-23-2011 11-48-33 AM

Была возможность запустить мою рабочую станцию, я сразу же загрузил Process Monitor, посмотреть, что можно будет найти. Сначала я не стал включать фильтр процессов, чтобы отфильтровать какой-то одиночный процесс, а посмотрел все, что были. Оказалось их более 66 тысяч, поэтому пришлось запустить фильтр. Желая просмотреть менее общие результаты, я перешел Tools > Count Occurrences (инструменты – числовые вхождения) и установил фильтр Results (результаты), стал просматривать интересующий меня NTSTATUS код:

SNAGHTML14cb2835

Просмотрев эту операцию, увидел QueryEAFile, запрос на расширение атрибутов для скаченного инстолятора Flash Player’а:

image

0xC0000052 – это файл или папка испорчена и нечитаема. Но почему же этот файл испорчен в каждом случае? Немного света на эту причину пролил случай, который я назвал Делом о Zip файле, не желающем открываться. Для подтверждения догадки, я скачал установщик еще раз и посмотрел отчет о размере загруженного файла в Internet Explorer’е:

image

Однако же, реальный размер на диске был:

SNAGHTML14ed02cbСсылка

Просмотрев все записанные операции для данного файла, увидел, что он неполностью загружен, он должен быть около 749 000 байт, на диске де он был только около 735 000:

image

На деле: мы пользуемся услугами внешних поставщиков, чтобы контролировать веб трафик. Когда файлы грузятся с интернета, они проверяются по специальным свойствам и, если во время проверки выполняется какое-то правило, закачка обрывается. В указанном выше случае, это оказался специально сжатый файл, содержащий много двоичных файлов, но не отдельный exe-шник. В данном случае, такой результат мог оказаться непреднамеренным, но фирму следовало предупредить о случившемся. В действительности же эту неприятность можно обойти, изменив настройки прокси в IE, не имеющие фильтра для веб трафика.

вторник, 23 августа 2011 г.

Для самых маленьких. ссылки на секретные документы российского правительства

Просто не сумел проигнорировать новость, располагающуюся здесь.

Это ее полная копия:

В начале августа 2011 году в поисковой выдаче Mail.ru и Google была обнаружена скрытая документация служебных ведомств и министерств РФ. На многих из выдаваемых поисковыми системами документах есть пометки «секретно».

Так, любой пользователь, введя в строку поиска текст «allintitle: для служебного пользования site:gov.ru», мог получить доступ к секретным материалам российских ведомств.

Среди доступных для всеобщего обозрения материалов оказались документы Счетной палаты РФ, Федеральной антимонопольной службы, Министерства экономического развития РФ и других государственных ведомств.

Все эти документы были размещены на интернет-ресурсе gov.ru. Этот сайт принадлежит российским правительственным органам.

По данным представителей компании Google, всего при проверке в этой поисковой системе удалось выявить около сотни секретных документов государственной важности.

На всех найденных в открытом доступе в сети файлах установлен гриф «совершенно секретно» или стоит пометка «для служебного пользования».

Кроме поисковой системы Google, ссылки на подобные документы выдает и поисковый сервис Mail. ru. Что касается популярного поисковика Яндекс, то здесь подобный запрос не дает никаких результатов. Однако здесь можно найти личные данные пассажиров российской железной дороги, а также данные покупателей интернет-магазинов и секс-шопов.

Почему так получилось? Получается и будет получатся? Про это я уже говорил здесь. Думаю, после прочтения этой новости, многие поймут, как мало они знают о поисковых системах -- не настало ли время закончить летнее каникулы и взяться за учебу.

Лично я сегодня изучал Word, хотя на профессиональном уровне знаю его уже очень давно (вот, к слову, моя работа на эту тему), так что подумайте еще раз. Да прибудет с Вами сила!

воскресенье, 21 августа 2011 г.

Арсенал для ведения кибер войн. AutoRuns

По сути дела арсенал ведения войн можно разделить, как на оборонительные и наступательные элементы. Киберпространство не исключение. Вопрос же о границах между обороной и наступлением остается более философским вопросом, чем техническим.
Но рассмотрим одну из наиболее удобных программ для ведения кибервойн - AutoRuns от марка Руссиновича.

Это мой перевод, первоначально размещенный здесь.

Это статья-руководство по использованию необходимо для грамотного ведения оборонительных действий в кибервойне.

Приступаем:

Пара слов от переводчика

Честно сказать, я и сам планировал в ближайшее время познакомить Вас с этой программой, но получив новость о выходе этой статьи, засел за ее перевод. Делать простой перевод статей о программах, которыми ты постоянно пользуешься – очень сложно. Но перевод есть перевод, поэтому все скользкие моменты и некоторые примеры из моей практики я пометил просто примечанием, по ходу изложения оригинального текста.

Так же эта статья имеет прямое отношение к моим переводам блога Марка Руссиновича – он является ее разработчиком. Я перепробовал множество средств для аудита запущенный, активных процессов – AutoRuns – самый функциональный.

Так же, только благодаря этой программе, я в свое время сумел убрать из запуска Антивирус Касперского (после полного удаления данного продукта с системы), историю этой борьбы можно посмотреть здесь.

Но а сейчас сама статья с моими замечаниями.

Пост

Утилита Sysinternals AutoRuns позволяет управлять каждым процессом и приложением, автоматически загружающимися в систему Windows.

Обычно считается, что пользователь или администратор может управлять процессами и сервисами вMS Windows 7, используя комбинацию диспетчера задач и диспетчера сервисов. Но зачем использовать два две разные утилиты, когда можно управлять процессами и сервисами, с помощью только одного инструмента? Утилита, о которой пойдет речь, разработана MS Sysinternals и называется AutoRuns.

AutoRuns позволяет управлять каждым процессом и приложением, загружающимся в Вашу систему. Включая, всепроцессы, ассоциирующиесяс:

• Logon

• Explorer shell extensions

• Internet Explorer

• Schedule tasks

• Services

• Drivers

• Winlogon notifications

• KnownDLLs

• AppInit

• Image Hijacks

• Boot Execute

• Codecs

• Sidebar Gadgets

• Network Providers

• LSA Providers

• Print Monitors

• Winsock Providers

(Это вкладки на главном меню программы, перевод не дан, чтобы не путать и использовать терминологию, принятую в MS – ArkSmoke)

Всем, вышеперечисленным можно управлять из одного окошка. Но это не весь функционал описываемой программки. Используя AutoRun, можно открыть информацию о любом запущенном процессе, просто кликнув по нему правой кнопкой. (Откроется новое окно в браузере, и запуститься поисковик. По результатам поиска можно оценить то, что это за процесс. Не забывайте статью - ArkSmoke).

Это свойство наиболее впечатляет, когда приходится работать с процессами от сторонних разработчиков. Вам проще вывести подозрительные процессы и сервисы на чистую воду, проверить, являются ли они вирусами и прочим вредоносным ПО. Как это работает? Давайте посмотрим.

Установка и запуск

Очевидно, установка не то, что должно тратить много времени. В добавок этот инструмент портативный, то есть не нуждается в установке в систему. Вы просто скачаете архив с Sysinternals, распакуете файл, и программа готова к работе на той машине, которой требуется помощь (можно использовать AutoRuns в любой системе, которую Вы администрируете).

Вам, естественно, следует использовать программку под администратором. Sysinternals реализовало это, добавив в меню файл строку «Run as Administrator». Нажав ее, Вы получите права администратора. В этом случае у Вас будет гораздо больше доступа и возможностей, по сравнению с гостевой записью.

Использование.

Когда Вы запустите AutoRuns, то увидите окно, содержащие инструменты. Здесь многочисленные вкладки. Каждая вкладка содержит специфичные сервисы, приложения и тд.


Но давайте посмотрим пошаговую инструкцию, как отключить процесс, не принадлежащий Windows и вообще MS.

Шаг 1: нажмите (так как утилита англоязычная, то пункты меню оставляю без перевода, просто буду пояснять по ходу изложения, для чего они нужны - ArkSmoke) Options | Hide Microsoft and Windows Entries – для того, чтобы не отображать процессы, принадлежащие MS, после этого File | Refresh(или F5), чтобы обновить содержимое окна. Теперь Вы видите только процессы, не относящиеся к официальным процессам MS.

Шаг 2: находим интересный Вам процесс. Это можно сделать, прокрутив скроллер всех процессов, кликнув по вкладке, ассоциируемой с данным процессом, или нажав File | Find. (стандартная Ctrl+F – тоже работает - ArkSmoke).

Шаг 3: обезвреживаем процесс. Делается это: убираем галочку напротив процесса, который Вы хотите убрать. Во время следующей перезагрузки процесс не будет грузиться – даже ничего не надо сохранять.

Проверка подписи кода.

Это одни из самых действенных методов, для проверки «злонамеренности» процесса в AutoRuns. Если у Вас какой-то процесс вызывает подозрение, то вот алгоритм проверки:

1. выберите подозрительный процесс.

2. убедитесь, что AutoRuns работает из-под администратора.

3. выберете Options | Verify Code Signatures.

4. обновите содержимое окна, нажав F5.

Убедитесь, что все процессы отображаются в виде доверенных (Verified) в колонке Publisher(издатель).

Если процесс не помечен, как доверенный, то он считается подозрительным. (Но прежде, чем принимать какое либо решение о дельнейшей судьбе подозрительного процесса, найдите о нем больше информации. Например, в моей системе AutoRuns посчитала два гаджета рабочего стола подозрительными - ArkSmoke)


В зависимости от того, сколько сервисов у Вас запускаются, процесс проверки может занять некоторое время (такой процесс очень ощутим на компьютерах с приличным сроком работы - ArkSmoke). Так что имейте это ввиду, когда пользуетесь AutoRuns. Если опция Verified стоит по умолчанию, то процесс запуска утилиты может увеличиться в разы.

Мысли на последок

А вот список причин, по которым Вам следует использовать SysInternals Autoruns. Программа позволяет не только управлять всеми процессами и сервисами, автоматически загружаемыми в систему, но и уберечь от запуска вредоносных процессов. Это простая в использовании утилита от авторитетных разработчиков.

четверг, 18 августа 2011 г.

Mark's Blog. Дело о зависшем запуске игры





« - Когда мне плохо, я работаю, - сказал он. - Когда у меня неприятности, когда у меня хандра, когда мне скучно жить, - я саж

усь работать. Наверное, существуют
другие рецепты, но я их не знаю. Или они мне не помогают. Хочешь моего совета - пожалуйста: садись работать. Слава богу, таким людям, как мы с тобой, для работы ничего не нужно кроме бумаги и карандаша...»

(А. и Б. Стругацкие, «За миллиард лет до конца све
та»).

Пусть этот эпиграф из Стругацких послужит привычным предисловием к переводу поста Марка Руссиновича. На этот раз Марк будет разбирать дело о зависшей игре. Приятного чтения, да не покинет Вас сила.

Дело о зависшем запуске игры

Конечно, мне очень нравится, когда приходят истории о том, как пользователи с помощью инструментов Sysinternals успешно разреш


ают сложные проблемы, но нет ничего приятнее, чем, используя все тот же инструментарий, решать свои собственные проблемы. В частности, этот случай оказался забавным, потому что его решение позволило мне вернуться к забавам.

Когда есть время, я время от времени играю в компьютерные игры, чтобы выпустить пар (вот такой вот каламбур - Mark). Несколько крайних лет моя любимая игрушка – Portal. Мне очень понравился первый Portal, затем я


заказал второй Portal от команды Valves, и, когда он стал доступен, я играл в него уже через несколько часов после выхода. С того времени я играю картах, которые создают любители игры. В прошлую субботу я засел за карту фаната, победителя с community map contest, но не хватило время, пройти ее за одни присест.

Следующим утром я перезагрузил свою машину, кликнул по ярлычку Portal 2, получив стандартный диалог запуска Steam. Обычно игра грузилась за пару секунд, но на этот раз диалог Steam остановился здесь:


Я закрыл этот Steam и открыл его снова, и снова диалог завис.

Я отрыл снимок активности Process Monitor’а и принялся искать в Process Explorer’е стек процессов Steam’а, но не обнаружил никаких ключей. Подумав, что конфигурация или установка Portal 2 повредилась, я удал игрушку, снова скачал ее и переустановил. Это не исправило проблемы, хотя Portal 2 был «чистым», что означало, что проблемы либо в Steam’е, либо еще в каком месте в Windows. Следующим шагом была переустановка Steam’а.


Первым делом я открыл «Удаление или изменение программ» из Панели управления, но двойной клик по Steam вызвал диалог, запрашивающий подтверждение удаления и предупреждающий, что удалится и весь контент. Не хотелось мне потерять настройки игры или же потом переустанавливать игры вообще, поэтому не стал я удалять Steam. У большинства установщиков Microsoft Installer Service (MSI – сервис установки Microsoft) есть опция «восстановить», она переустанавливает приложение без удаления данных пользователя или его конфигурации,

поэтому я зашел на домашнюю страничку Steam’а, скачал инстолятор и запустил его. Конечно же, мастер установки предложил мне опцию «восстановить» (repair option):

Нажав на кнопку «Далее» (Next button), я оказался ошарашен странным сообщением об ошибке. Появлялась сетевая ошибка! Это при попытке чтения файла, находящегося на жестком диске:

Я снова запустил Process Monitor и принялся отслеживать процессы при неудачной попытке восстановления программы. Сообщение об ошибке ссылалось на файл с именем SteamInstall[1].msi, так как я нашел в логе этого файла такую строку. Первой подсказкой оказалась значение, прочитанное в запросе ключа реестра HKCR\Installer\Products под названием PackageName

Следующая подсказка оказалась несколькими операциями позже, когда инстолятор пытался прочитать данные из файла и выводил их в сообщение об ошибке:

Инстолятр считывал имя файла с существующего ключа реестра, а место расположения файла оказался кэш Internet Explorer’а (IE’а). Сразу же возникло предположение, что инстолятор пытается запустить свою же копию со времен первого скачивания. Первоначальный файл установки запускался из папки IE с сайта Valve, точно так же, как это было сделано и сейчас, файл располагался в КЭШе IE’а, но с первой установки уже прошло время, и файл должен был бы давно удалиться.

Process Monitor показывал, что инстолятор обращается к первоначальному файлу установки, указанному в реестре, поэтому, укажи я установщику расположение только что скаченного файла, я бы смог его запустить, а не искать, где когда-то располагались старые файлы. Я просмотрел лог, ища, где располагается Steaminstall.msi, и нашел его в другом месте КЭШа:

Затем я вернулся к очереди входов реестра, кликнул правой кнопкой по нему, выбрал Jump To (перейти) из контекстного меню. Process Monitor запустил Regedit, открытый на нужном мне ключе, в котором я обновил значения LastUsedSource и PackageName на нужные мне:

После я закрыл диалог с ошибкой, который я оставлял открытым, и нажал на копку Далее (Next), пробуя исправить программу снова. На этот раз, Steam переустановился, и мастер выдал сообщение об успешной установке:


Я запустил Portal 2. на секунду вылетел диалог Steams’а «Preparing to Launch» (подготовка к запуску), и заставка Portal 2 появилась на экране. Дело распутано. Удаление и переустановка Steams’а и всех игр дали бы аналогичный результат, но Process Monitor дал возможность сэкономить время и сохранить все позиции и настройки игр. И спустя несколько минут, я вернулся к решению игровых задач разных видов.