Секреты Windows: статьи о реестре, rundll32.exe, программах (comp.soft.win.wintipsb00ks) : Рассылка : Subscribe.Ru

Отправляет email-рассылки с помощью сервиса Sendsay

Секреты Windows: статьи о реестре, rundll32.exe, программах

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Ноябрь 2009 →
	1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

Автор

Клименко Роман aka parad0x

Статистика

3.339 подписчиков
-4 за неделю

← Все выпуски →

Секреты Windows: статьи о реестре, rundll32.exe, программах

Глава 3. Антивирусная защита отдельного ПК. Если компьютер уже заражен - Список работающих драйверов
Дата: 10 ноября 2009, вторник

Новинки нашей сети

http://myauto.co.ua. Добавлены новые статьи из КОАП.
http://inf.biz.ua. Добавлен код информера Фен-шуй.
http://mygame.co.ua. Для скачивания доступна программа Набор развивающих игр для детей дошкольного возраста.
http://mybody.co.ua. Добавлены статьи Первый комплекс упражнений на девятом месяце тренировок и Второй комплекс упражнений на девятом месяце тренировок.
http://hand.co.ua. Добавлен массажный прием Двойное кольцевое продольное разминание.

Другие наши рассылки: Новости IT-мира, Новости нашего сайта, Рецензии на новые книги.

Последние 2 новости нашего сайта:

Добавлена статья: Глава 6. Электронные деньги - Платежная система Webmoney Transfer, Учимся принимать и отдавать деньги
Добавлена статья: Глава 6. Электронные деньги - Платежная система Webmoney Transfer, Подключение к Webmoney Transfer, окончание

В конец записи

Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Нам осталось самое сложное — рассмотреть ситуацию, при которой вредоносная программа установила свой не менее вредоносный драйвер.

Сложность этой ситуации заключается в том, что простых методов просмотра списка установленных драйверов и отключения ненужных просто нет. Поэтому нам придется работать на ощупь.

Практически все установленные драйверы хранятся в каталоге %systemroot%\System32\drivers и имеют расширение SYS. Откройте этот каталог, после чего отобразите два дополнительных столбца для папки: ВЛАДЕЛЕЦ и ОРГАНИЗАЦИЯ (рис. 3.39).

Рис. 3.39. Список драйверов в каталоге %systemroot%\System32\drivers

А теперь заметьте, что владельцем драйвера может быть либо TRUSTEDINSTALLER, либо SYSTEM, либо ваша учетная запись (или запись того, кто устанавливать драйвер). Если владелец драйвера TRUSTEDINSTALLER, значит данный драйвер является стандартным и устанавливался во время установки операционной системы. Если владельцем драйвера является SYSTEM, тогда данный драйвер возможно устанавливался во время установки операционной системы (но не факт). Ну, а если владельцем драйвера является кто-то другой — то драйвер устанавливался вручную. Вот на два последних типа драйверов и нужно в первую очередь обращать внимание.

Так что, убирая драйверы, владельцем которых является TRUSTEDINSTALLER, уже можно сократить количество подозрительных драйверов. Например, на моем компьютере TRUSTEDINSTALLER был владельцем 166 драйверов. Также в некоторых случаях можно удалить драйверы, владельцем которых является SYSTEM. На моем компьютере это еще 95 драйверов. Итого, осталось 30 подозрительных драйверов — не так уж и много.

Еще одно место, где могут встречаться драйверы (устаревшие драйверы) — каталог %systemroot%\System.

Оснастка Диспетчер устройств

Более-менее простой способ работы с некоторыми драйверами предоставляет оснастка ДИСПЕТЧЕР УСТРОЙСТВ (консоль devmgmt.msc). Отобразите эту консоль, в меню ВИД выберите команду ПОКАЗАТЬ СКРЫТЫЕ УСТРОЙСТВА, и раскройте отобразившийся список ДРАЙВЕРЫ НЕСАМОНАСТРАИВАЕМЫХ УСТРОЙСТВ (рис. 3.40). Перед вами отобразится список некоторых драйверов, в котором иногда можно обнаружить и вредоносные драйверы.

Рис. 3.40. Список драйверов в оснастке Диспетчер устройств

Если какой-то драйвер показался вам подозрительным, тогда отобразите его диалог СВОЙСТВА (одноименный пункт контекстного меню). Перейдите на вкладку ДРАЙВЕР и нажмите кнопку СВЕДЕНИЯ. Так вы узнаете местоположение и имя файла драйвера, а также организацию, которая его создала.

Также на вкладке ДРАЙВЕР можно остановить работу драйвера (кнопка ОСТАНОВИТЬ), или же вообще отключить его (пункт ОТКЛЮЧЕНО раскрывающегося списка ТИП). А в контекстном меню названия драйвера помимо пункта СВОЙСТВА вы сможете обнаружить пункт УДАЛИТЬ. Если вы абсолютно уверены, что данный драйвер вредоносный, этот пункт вам может пригодиться.

Программа Сведения о системе

Просто просмотреть список драйверов (без возможности их удаления или отключения) позволяет стандартная программа msinfo32.exe. Для этого откройте программу и раскройте раздел ПРОГРАММНАЯ СРЕДА. В этом разделе есть два нужных нам подраздела: СИСТЕМНЫЕ ДРАЙВЕРЫ и ПОДПИСАННЫЕ ДРАЙВЕРЫ (рис. 3.41).

Рис. 3.41. Список установленных драйверов в программе Сведения о системе

В подписанных драйверах можно определить, имеет ли подозрительных драйвер цифровую подпись, и кому она принадлежит. Если цифровая подпись принадлежит Microsoft или другому известному издателю, тогда вряд ли данный драйвер является вредоносным.

Также просмотреть сведения о цифровой подписи и вообще определить, есть ли она у драйвера, можно в диалоге СВОЙСТВА файла драйвера. Если драйвер подписан, тогда в этом диалоге будет присутствовать вкладка ЦИФРОВЫЕ ПОДПИСИ.

Список всех драйверов

Отобразить список всех драйверов можно в командной строке с помощью команды sc query type= driver. Но поскольку драйверов очень много, лучше перенаправить вывод команды в файл. То есть, воспользоваться командой sc query type= driver > путь_и_имя_файла.

Также для отображения всех драйвером можно использовать программу командной строки driverquery.exe. По умолчанию она отображает название драйвера и дату его создания, а если воспользоваться командой driverquery.exe /V, тогда будет отображено и множество других дополнительных сведений.

И последний стандартный способ отображения драйверов. Запустите программу verifier.exe, нажмите ДАЛЕЕ, установите переключатель ВЫБОР ПРОВЕРЯЕМЫХ ДРАЙВЕРОВ в нужное положение:

АВТОМАТИЧЕСКИ ВЫБИРАТЬ НЕПОДПИСАННЫЕ ДРАЙВЕРЫ — отобразить только драйверы, не имеющие цифровой подписи;
АВТОМАТИЧЕСКИ ВЫБИРАТЬ ДРАЙВЕРЫ ДЛЯ ПРОШЛЫХ ВЕРСИЙ WINDOWS — отобразить только устаревшие драйверы, которые были созданы для более старых версий Windows;
ВЫБРАТЬ ИМЯ ДРАЙВЕРА ИЗ СПИСКА — отобразить все драйверы.

После чего нажмите еще раз кнопку ДАЛЕЕ, чтобы отобразить все драйверы, удовлетворяющие данному запросу (рис. 3.42).

Ни в коем случае не нажимайте на кнопку ГОТОВО. Данная программа предназначена для поиска ошибок в драйверах, ведущих к утечке памяти. Если вы все-таки нажали на кнопку ГОТОВО, тогда снова запустите программу, установите переключатель ВЫБЕРИТЕ ДЕЙСТВИЕ в положение УДАЛИТЬ СУЩЕСТВУЮЩИЕ ПАРАМЕТРЫ, и нажмите кнопку ГОТОВО.

Рис. 3.42. Список всех драйверов с возможностью просмотра поставщика драйвера

Продолжение следует

moemesto.ru bobrdobr.ru - добавить в социальные закладки

В начало записи

Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=705

В избранное

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} {#if $P.login_register_tab == 1} <form class="authentication-form" method="post" action="/MEMBERLOGIN_authen_cred"> <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <h1>Войти на сайт</h1> {* {#include js_tmpl_auth_reg_button} *} {#include js_tmpl_auth_reg_action} <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones"><p>{#include js_tmpl_auth_reg_descr} </p></div> <div class="logreg_advice noPhones"> Если вы еще не с нами, то начните с <a href="#" onclick="rgNav('js_tab_reg');return false;" class="dashed" data-func="registr">регистрации</a> </div> <br><br> <a class="dashed auth-enter" href="/manage/author/"><b>Вход для авторов</b></a> </dt> </dl> </form> {#/if} {#if $P.login_register_tab == 2} <div class="rg_block_options"> <div id="js_tap_panel_auth"> <h1>Регистрация</h1> <div class="social_reg"> {* <div class="rg_description">{#include js_tmpl_soc_auth_reg_descr}</div> *} {#include js_tmpl_auth_reg_soc} <div class="rg_soc_auth_agree">{#include js_tmpl_auth_reg_agree}</div> </div> <div class="subscribe_reg"> {* <div class="rg_description"> #include js_tmpl_auth_reg_descr </div> *} {#include js_tmpl_auth_reg_action} </div> {* {#include js_tmpl_auth_reg_button} *} <div class="clr"> </div> <hr class="logreg_line noPhones"> <div class="logreg_descr noPhones">{#include js_tmpl_auth_reg_descr} {#include js_tmpl_soc_auth_reg_descr} </div> </div> </div> {#/if} </div> {* <div class="gray_bg register_shadow"></div> *} </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_auth" class="{#if $P.login_register_tab == 1} rg_active_nav {#/if} rg_first_nav"><a onclick="rgNav('js_tab_auth');return false;" href="">Вход на сайт</a></li> <li id="js_tab_reg" class="{#if $P.login_register_tab == 2} rg_active_nav {#/if}"><a onclick="rgNav('js_tab_reg');return false;" href="">Регистрация </a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_action} {#if $P.login_register_tab == 1} {#include js_tmpl_auth_reg_soc} {#/if} <div class="rg_forms"> <input type="hidden" id="login_register_destination" value="{$P.login_register_destination}"/> {#if $P.login_register_tab == 1} <div class="rg_for_input"> <span class="rg_text_inner">E-mail или код подписчика</span> <input id="credential_0" class="js_keydown_selector rg_input_text" data-js_submit="no" data-js_next_input_name="credential_1" name="" type="text" /> </div> <div class="rg_for_input"> <span class="rg_text_inner">Пароль</span> <input id="credential_1" class="js_keydown_selector rg_input_text" data-js_submit="yes" data-js_action="js_loginFormBut" name="" type="password" onkeyup="showAttention(this,!!window.event.shiftKey)" /> <span class="pswd_attention" id="attention_pswd"> <span class="icon_attention"></span> <span class="pswd_attention-text" id="attention-text_pswd1">Русская раскладка клавиатуры!</span> <span class="pswd_attention-text" id="attention-text_pswd2">У вас включен Caps Lock!</span> <span class="pswd_attention-text" id="attention-text_pswd3">У вас включен Caps Lock и русская раскладка клавиатуры!</span> </span> </div> <div class="rg_for_input input-alien"> <span class="chk noPhones"><input id="chk_alien" name="" type="checkbox" /></span><label for="chk_alien" class="noPhones"> Чужой компьютер</label> <a class="forgot_pass" href="/member/totalrecall">Забыли пароль?</a> </div> <div class="rg_for_input"> <em id="auth_msg" class="reg_error"></em> <input id="lf_typeauthid" value="email" type="hidden"> <input type="submit" class="button button-red logreg_submit" id="js_loginFormBut" value="Войти">  <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} {#if $P.login_register_tab == 2} <div class="rg_for_input"> <span class="rg_text_inner">E-mail</span> <input id="arfemail" class="js_keydown_selector rg_input_text" name="" type="text" data-js_submit="yes" data-js_action="js_regFormBut"/> </div> <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a> </label> <br /> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_personal' type="checkbox" data-js_submit="yes" /></span> Нажимая на кнопку "Готово!", я даю <a class="link_txd logreg_accLink" href="/faq/persverordnung.html">согласие на обработку персональных данных</a> </label> </div> {* <div style="float: left;position: absolute;left: 11em;"> <img src="http://www.kupivip.ru/images/vip/logo.png?1604" style="width: 86px; vertical-align: middle;display: block;"> </div> <div class="rg_for_input rg_set_lineh"> <label class="js_tap_panel_checkbox"><input name="" id="js_tap_panel_checkbox_kupivip" type="checkbox" data-js_submit="yes"> Я хочу получать новости о скидках на одежду</label> </div> *} <div class="rg_for_input"> <em id="reg_msg" class="reg_error rg_for_input_wide"></em> <em id="reg_msg2" class="reg_error rg_for_input_wide"></em> <input id="rf_typeauthid" value="email" type="hidden"> <a class="button button-red logreg_submit" id="js_regFormBut" href="#">Готово!</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> </div> {#/if} </div> {#/template js_tmpl_auth_reg_action} {#template js_tmpl_auth_reg_agree} <div class="rg_for_input rg_set_lineh rg_for_input_wide"> <label class="js_tap_panel_checkbox"> <span class="chk"><input name="" id='js_tap_panel_checkbox_terms_reg' type="checkbox" data-js_submit="yes" /></span> Я ознакомился и согласен с <a class="link_txd logreg_accLink" href="/faq/vereinbarung.html">условиями сервиса Subscribe.ru</a></label> <em id="reg_msg_soc" class="reg_error rg_for_input_wide"></em> </div> {#/template js_tmpl_auth_reg_agree} {#template js_tmpl_auth_reg_button} <div class="rg_butons_socials"> {#if $P.login_register_tab == 1} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="auth_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="auth_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} {#if $P.login_register_tab == 2} <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_email" href="#"><span><i></i>Email</span></a> <a class="rg_btn_soc rg_bs_01 js_tap_panel_selector" action="reg_openid" href="#"><span><i></i>OpenID</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_vkontakte" href="#"><span><i></i>Вконтакте</span></a> <a class="rg_btn_soc rg_bs_02 js_tap_panel_selector" action="reg_mailru" href="#"><span><i></i>Mail.Ru</span></a> {#/if} </div> {#/template js_tmpl_auth_reg_button} {#template js_tmpl_auth_reg_descr} {#if $P.login_register_tab == 1} Для оформления подписки на выбранную рассылку, работы с интересующей вас группой или доступа в нужный вам раздел, просим авторизоваться на Subscribe.ru {#/if} {#if $P.login_register_tab == 2} Для регистрации укажите ваш e-mail адрес. Адрес должен быть действующим, на него сразу после регистрации будет отправлено письмо с инструкциями и кодом подтверждения. {#/if} {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_soc_auth_reg_descr} Или зарегистрируйтесь через социальную сеть. {#/template js_tmpl_soc_auth_reg_descr} {#template js_tmpl_auth_reg_soc} <div class="rg_soc"> {#if $P.login_register_tab == 1} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/login/vk/&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} {#if $P.login_register_tab == 2} <a onclick="return _checkSocConfirm(event)" href="https://oauth.vk.com/authorize?client_id=3954260&scope=wall,offline,photos,groups,video,audio,email&redirect_uri={location.protocol+'//'+location.host}/member/join/vk&response_type=code&v=5.15" class="login_register_vk_button"> <span class="login_register_vk_icon"></span> </a> {#/if} </div> {#/template js_tmpl_auth_reg_soc}

{#template MAIN} <div id="loginForm" style="display:none;" class="subscriberu_popup"> <div class="popup_register"> {#include js_tmpl_auth_reg_tab} <dl class="rg_block_options"> <dt id="js_tap_panel_auth"> <p class="rg_description">{#include js_tmpl_auth_reg_descr}</p> <div class="clr"> </div> {#include js_tmpl_auth_reg_action} <div class="clr"> </div> </dt> </dl> </div>  </div> {#/template MAIN} {#template js_tmpl_auth_reg_tab} <ul class="rg_nav"> <li id="js_tab_reg" class="rg_active_nav rg_first_nav"><a href="" onclick="return false;" >Регистрация</a></li> </ul> <span onclick="hidebo();" class="rg_closed"> </span> {#/template js_tmpl_auth_reg_tab} {#template js_tmpl_auth_reg_descr} <strong>Пожалуйста, подтвердите ваш адрес.</strong><br><br>Вам отправлено письмо для подтверждения вашего адреса {$P.register_confirm_mail}.<br>Для подтверждения адреса перейдите по ссылке из этого письма. {#/template js_tmpl_auth_reg_descr} {#template js_tmpl_auth_reg_action} <div class="rg_forms confirm_code_from_letter"> <div class="rg_for_input"> <span class="rg_inp_descr" style="width:15em;">Или введите код из письма:</span> <input type="text" value="" id="confirm_code" name="" data-js_submit="yes" data-js_action="js_confirmFormBut" class="js_keydown_selector rg_input_text_conf" > </div> <div class="rg_for_input"><label>Не пришло письмо? <b>Пожалуйста, проверьте папку Спам</b><br /> (папку для нежелательной почты).</label><br /> <a href="" onclick="ajax_recall_code();return false" >Вышлите мне письмо еще раз!</a></div> <div class="rg_for_input"> <em class="reg_error" id="confirm_msg"></em> <a href="#" class="button button-red" id="js_confirmFormBut">Готово</a> <div class="loading loading-cover" style="display: none;"><div class="loader"></div></div> <br> </div> </div> {#/template js_tmpl_auth_reg_action}