Пара слов от переводчика
Честно сказать, я и сам планировал в ближайшее время познакомить Вас с этой программой, но получив новость о выходе этой статьи, засел за ее перевод. Делать простой перевод статей о программах, которыми ты постоянно пользуешься – очень сложно. Но перевод есть перевод, поэтому все скользкие моменты и некоторые примеры из моей практики я пометил просто примечанием, по ходу изложения оригинального текста.
Так же эта статья имеет прямое отношение к моим переводам блога Марка Руссиновича – он является ее разработчиком. Я перепробовал множество средств для аудита запущенный, активных процессов – AutoRuns – самый функциональный.
Так же, только благодаря этой программе, я в свое время сумел убрать из запуска Антивирус Касперского (после полного удаления данного продукта с системы), историю этой борьбы можно посмотреть здесь.
Но а сейчас сама статья с моими замечаниями.
Пост
Утилита Sysinternals AutoRuns позволяет управлять каждым процессом и приложением, автоматически загружающимися в систему Windows.
Обычно считается, что пользователь или администратор может управлять процессами и сервисами вMS Windows 7, используя комбинацию диспетчера задач и диспетчера сервисов. Но зачем использовать два две разные утилиты, когда можно управлять процессами и сервисами, с помощью только одного инструмента? Утилита, о которой пойдет речь, разработана MS Sysinternals и называется AutoRuns.
AutoRuns позволяет управлять каждым процессом и приложением, загружающимся в Вашу систему. Включая, всепроцессы, ассоциирующиесяс:
• Logon
• Explorer shell extensions
• Internet Explorer
• Schedule tasks
• Services
• Drivers
• Winlogon notifications
• KnownDLLs
• AppInit
• Image Hijacks
• Boot Execute
• Codecs
• Sidebar Gadgets
• Network Providers
• LSA Providers
• Print Monitors
• Winsock Providers
(Это вкладки на главном меню программы, перевод не дан, чтобы не путать и использовать терминологию, принятую в MS – ArkSmoke)
Всем, вышеперечисленным можно управлять из одного окошка. Но это не весь функционал описываемой программки. Используя AutoRun, можно открыть информацию о любом запущенном процессе, просто кликнув по нему правой кнопкой. (Откроется новое окно в браузере, и запуститься поисковик. По результатам поиска можно оценить то, что это за процесс. Не забывайте статью - ArkSmoke).
Это свойство наиболее впечатляет, когда приходится работать с процессами от сторонних разработчиков. Вам проще вывести подозрительные процессы и сервисы на чистую воду, проверить, являются ли они вирусами и прочим вредоносным ПО. Как это работает? Давайте посмотрим.
Установка и запуск
Очевидно, установка не то, что должно тратить много времени. В добавок этот инструмент портативный, то есть не нуждается в установке в систему. Вы просто скачаете архив с Sysinternals, распакуете файл, и программа готова к работе на той машине, которой требуется помощь (можно использовать AutoRuns в любой системе, которую Вы администрируете).
Вам, естественно, следует использовать программку под администратором. Sysinternals реализовало это, добавив в меню файл строку «Run as Administrator». Нажав ее, Вы получите права администратора. В этом случае у Вас будет гораздо больше доступа и возможностей, по сравнению с гостевой записью.
Использование.
Когда Вы запустите AutoRuns, то увидите окно, содержащие инструменты. Здесь многочисленные вкладки. Каждая вкладка содержит специфичные сервисы, приложения и тд.
Но давайте посмотрим пошаговую инструкцию, как отключить процесс, не принадлежащий Windows и вообще MS.
Шаг 1: нажмите (так как утилита англоязычная, то пункты меню оставляю без перевода, просто буду пояснять по ходу изложения, для чего они нужны - ArkSmoke) Options | Hide Microsoft and Windows Entries – для того, чтобы не отображать процессы, принадлежащие MS, после этого File | Refresh(или F5), чтобы обновить содержимое окна. Теперь Вы видите только процессы, не относящиеся к официальным процессам MS.
Шаг 2: находим интересный Вам процесс. Это можно сделать, прокрутив скроллер всех процессов, кликнув по вкладке, ассоциируемой с данным процессом, или нажав File | Find. (стандартная Ctrl+F – тоже работает - ArkSmoke).
Шаг 3: обезвреживаем процесс. Делается это: убираем галочку напротив процесса, который Вы хотите убрать. Во время следующей перезагрузки процесс не будет грузиться – даже ничего не надо сохранять.
Проверка подписи кода.
Это одни из самых действенных методов, для проверки «злонамеренности» процесса в AutoRuns. Если у Вас какой-то процесс вызывает подозрение, то вот алгоритм проверки:
1. выберите подозрительный процесс.
2. убедитесь, что AutoRuns работает из-под администратора.
3. выберете Options | Verify Code Signatures.
4. обновите содержимое окна, нажав F5.
Убедитесь, что все процессы отображаются в виде доверенных (Verified) в колонке Publisher(издатель).
Если процесс не помечен, как доверенный, то он считается подозрительным. (Но прежде, чем принимать какое либо решение о дельнейшей судьбе подозрительного процесса, найдите о нем больше информации. Например, в моей системе AutoRuns посчитала два гаджета рабочего стола подозрительными - ArkSmoke)
В зависимости от того, сколько сервисов у Вас запускаются, процесс проверки может занять некоторое время (такой процесс очень ощутим на компьютерах с приличным сроком работы - ArkSmoke). Так что имейте это ввиду, когда пользуетесь AutoRuns. Если опция Verified стоит по умолчанию, то процесс запуска утилиты может увеличиться в разы.
Мысли на последок
А вот список причин, по которым Вам следует использовать SysInternals Autoruns. Программа позволяет не только управлять всеми процессами и сервисами, автоматически загружаемыми в систему, но и уберечь от запуска вредоносных процессов. Это простая в использовании утилита от авторитетных разработчиков.
Комментариев нет:
Отправить комментарий