Про даний метод я вже трохи згадував раніше, навіть створив спеціяльний файл, що досить сильно допомагає мені в роботі, але результатами поділитись - забув.
Час витягувати піврічне неопубліковане, про яке забулось і лінувалось...
Історія почалась дуже давно. В той час я працював на компанію "Квазар Мікро", сервіс інженером. Враховуючи те, що крім банального сервісу та ремонту техніки власного виробництва, регіональні офіси мали можливість самостійного заробляння грошей, і в випадку Львівського офіса - це були договора про обслуговування офісної техніки багатьох компаній інженерами сервісного центру Квазар Мікро.
Насправді це був чудовий маркетинговий і стратегічний хід. Ми перетворювались на "адмінів по виклику" і їздили по рекламним агенціям, туристичним компаніям, дрібним офісам, що не могли собі дозволити постійно діючого системного адміністратора, в той час як оплачувати від вісьми людино-годин їм було в самий раз.
Для компанії, що спеціалізується на впровадженні готових інсталяційних рішень комп'ютерної техніки і мереж - це було як постійний бонус, бо в більшості випадків всі організації, що заключали з нами договора на обслуговування з часом перелазити на техніку нашого ж виробництва.
В результаті такої співпраці я себе почав називати "Аспірином". Бо потрібно було дуже оперативно вирішувати проблеми
- з нависаючими користувачами, в яких техніка перестала працювати
- з директорами і менеджерами, які стояли з $екундоміром за спиною
- ну і з безпосередньо проблемами вірусів та поломок техніки абсолютно різнопланового виробництва.
В свій час я навіть виробив був практику відновлення роботоздатності робочої станції на час "до кінця дня", щоб користувач не втрачав робочий день, а в кінці дня забирав системний блок або лише жорсткий диск для того, щоб остаточно відновити роботоздатність.
Про цей "до кінця дня" я і хочу розповісти.
Досить часто потрібно було мати справу з різними рішеннями з боку власників техніки. Йдеться мова як про залізну сторону, так і, на чому наголошую, - про програмний набір.
Різні антивіруси, Набір програмного забезпеченя, організація доступу в інтернет, порядність користувачів, піратство - головні проблеми кожного офісу.
В результаті такої роботи у нас виробилось чуття до проблеми "робочої станції", або "сервера" безпосередньо в момент первинного огляду.
Якщо Ви вирішили стати "Аспірином", потрібно виробити в собі відповідні механізми аналізу.
В даній статті я буду робити акцент на робочі станції, які дозволяється перезавантажувати, бо з серверами - це зовсім інша історія і тема не одної статті в майбутньому.
Важливо мати в своєму запасі зовнішній носій, на який гарантовано ніхто нічого не запише. Я використовую для цього *.iso з необхідним набором інструментів, які підмонтовую як віртуальні диски на зараженій системі. В своєму наборі також потрібно мати окремо в запаролених архівах дублікати всіх інструментів на випадок, якщо система не дозволяє інсталювати програмне забезпечення на себе.
Набір, що я б рекомендував.
- ISO образи інсталяцій всіх OEM+Retail... Систем, з якими доводиться мати справу.
- Резервні папки repair цих же систем, для можливості відновлення роботоздатності шляхом підміни реєстру.
- Універсальний завантажувальний диск(Ubuntu, FreeBSD etcetera), з якого можна доступитись до файлової системи зараженої станції
- Ноутбук з наявним перехідником USB2HDD, щоб можна було оперативно зробити необхідні процедури, не знімаючи носій з зараженої системи.
- Доступ в інтернет
Із програмного набору я використовую
- Безкоштовну інсталяцію утиліти cureit від DrWeb
- Тестову версію McAfee Enterprise, що роботоздатна протягом певного терміну часу
- NOD32 антивірус, який НМД є найоптимальнішим рішенням в випадку постійного віикористання (Тут я упереджений по причині того, що я є Сертифікованим Менеджером з продаж цього антивіруса)
- Regmon.exe - що дозволяє спостерігати за тим, які ж процеси змінюють реєстрові значення, які Ви щойно виправили на правильні.
- В особливо складних випадках - Filemon.exe, що дозволяє аналізувати хто ж постійно закидує тіла вірусів, які не детектяться антивірусами.
- Shaman.exe - файловий менеджер, написаний зниклим автором дуже давно ще на Delphi3, що дозволяє проглянути приховані процеси і зняти їх з виконання, а також дозволяє стирати приховані файли
- В надзвичайно складних випадках, коли недозволено перезавантажувати комп'ютер - використовую віртуальну машину, що дозволяє завантажити гостьову ОС, з якої через фізичний доступ до диска стираю "нєстріраємоє"(давненько таким не користувався)
Яким чином відбувається аналіз.
Сідаючи за станцію, вартує зробити кілька первинних кроків, щоб визначити проблему.
Головне - намагайтесь виконувати все через консоль cmd.exe або через "Пуск->Виконати". Це чи не найважливіший фактор успішного self-лікування безпосередньо з пульта зараженої станції.
- Перевірка можливості запуску таких програм як regedit.exe, taskmgr.exe, mmc.exe
- Перевірка запуску команди c:\autorun.inf
- Перевірка розділів реєстру
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=Explorer.exe, UIHost=LogonUI.exe, System=''
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
З часом Ви знайдете їх набагато більше, описувати всі - тут не вистачить місця і формату 8).
- Неможливість відобразити приховані файли засобами Explorer.exe
- Наявність "лівих" процесів в списку taskmgr.exe, особливо таких, що запущені з глибоко захованих папок, або папок Temp
- У випадку 64бітних систем наявність значка *32 біля імені процесу в taskmgr.exe
Взагалі по 64бітним системам потрібно буде написати додаткову статтю, так як виявилось, що на сьогоднішній день вони краще захищені від вірусів в порівнянні з 32 бітними.
Список далеко неповний!
Враховуючи велику кількість інформації в даній статті, складні випадки аналізу я залишаю за майбутніми дописами.
Сподіваюсь, що даний текст стане Вам у нагоді при лікуванні і аналізі проблемних інсталяцій.
Успіху Вам!
Далі буде.
