Varonis 22 июл 2021 в 19:21

Как использовать AutoRuns для обнаружения и удаления вредоносных программ в Windows

7 мин

28K

Блог компании Varonis SystemsИнформационная безопасность*Системное администрирование*

Перевод

Комментарии 9

Scratch 22 июл 2021 в 22:36

вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Вот прям таки всегда? Это что, антивирусы теперь не нужны? Надеюсь, останавливаете кибератаки вы не с помощью AutoRuns

Varonis 23 июл 2021 в 10:36

Вы придираетесь к отдельно взятому слову. В статье мы пишем о том, что "Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения", также демонстрируем, как этот инструмент может помочь обнаружить разные способы, с помощью которых вредоносы пытаются продолжить свою работу на устройстве.

А чтобы узнать, как мы останавливаем кибератаки, добро пожаловать на нашу демонстрацию кибератак!

Scratch 23 июл 2021 в 12:22

Я придираюсь к концепции самостоятельного поиска вредоносов с помощью утилит, которые в 2021 году вообще не гарантируют результат, ибо спрятаться от них не стоит великого труда

ainu 23 июл 2021 в 14:19

Пруф?...

Существующие способы "скрыться", оставаясь в запуске автозагрузки больше подходят под "притвориться ПО Microsoft", но нормальный пользователь Autoruns понимает, что пользоваться галочкой "Скрыть ПО Майкрософт" вслепую нельзя.

andry67 23 июл 2021 в 16:51

Если стоят галочки на пунктах "verify code signatures" и "hide microsoft entries", а в списке есть что-то от мелкомягких - значит это, вероятно,маскирующаяся малварь.

morgot 26 июл 2021 в 00:12

И как же спрятаться от autoruns? Ну кроме как изобрести принципиально новый (с) способ автозапуска.

xi-tauw 26 июл 2021 в 21:24

edgegdi.dll

COM Hijacking

COR_PROFILER, COR_ENABLE_PROFILING

xi-tauw 22 июл 2021 в 23:52

Было бы желание, а обеспечить Persistence, незаметный для autoruns, несложно.

Akina 23 июл 2021 в 10:03

Непонятно, почему для выгрузки процесса зловреда используется ProcessHacker, когда в пакете от SysInternals есть ProcessExplorer.

Не вижу совета выполнять все указанные операции хотя бы в Safe Mode - как минимум половина зловредов при этом просто не загружены. Тогда как выгрузка процесса в обычном режиме зачастую заканчивается загрузкой новой копии. Особенно если гадость грузит 2 процесса, каждый из который следит за присутствием другого.

Зловреды умеют прятаться. В т.ч. прячут свой файл на диске - т.е. при попытках отправить его на VirusTotal или посчитать контрольную сумму файла как бы и нет. В большинстве случаев обходится запуском AutoRuns от имени локальной системы с помощью третьей утилиты из пакета - PsExec.

В общем, как-то уж больно "для чайников". А уж что чайник способен натворить неловким движением мыша, используя указанный инструмент - не мне вам рассказывать.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий