Функции анализа и восстановления > Исследование системы

Исследование системы

Исследование системы

Previous pageReturn to chapter overviewNext page

Исследование системы - это функция, позволяющая изучить систему и сформировать HTML протокол, позволяющий обнаружить подозрительные файлы и программы. Исследование системы может применяться для  оперативного изучения системы и (или) последующей отправки протокола для анализа в конференции вирусологов.

Запуск исследования системы производится из меню "Файл / Исследование системы", при выполнении которого выводится диалоговое окно исследования системы.

Переключатели позволяют указать, какую информацию необходимо собрать в ходе исследования системы. По умолчанию все переключатели включены и сбор информации идет по максимуму.

На исследование системы оказывает влияние антируткит (поскольку нейтрализация перехватов может привести к отображению маскируемой руткитом информации) и наличие в системе драйвера расширенного мониторинга системы AVZPM.

 

Важно отметить факты, касающихся исследование системы:

1. В ходе исследования не производится активное воздействие на систему (не правится реестр, не оказывается воздействие на состояние запущенных процессов или служб и т.п.). Как следствие, его можно повторять многократно без риска для ПК, и после исследования не требуется перезагрузка.

2. В ходе исследования системы AVZ не обменивается с "облаками" и какими бы то ни было внешними ресурсами, и никуда не передает собираемую информацию. Как следствие, доступ в Интернет исследуемому ПК не требуется.

3. Созданные в ходе исследования протоколы сохраняются в указанном пользователем месте на диске, и могут быть просмотрены пользователем при помощи любого браузера, или отправлены пользователем на исследование по запросу специалистов.

 

Группа  параметров "Собираемая информация"

 

Переключатель "Запущенные процессы"

Если он включен, то в отчет исследования системы выводится таблица со списком процессов.

 

Переключатель "Библиотеки процессов"

Данный переключатель доступен, если включен переключатель "Запущенные процессы". Если он включен, то в отчет исследования системы выводится таблица со списком библиотек, используемых запущенными процессами. Поддерживается два вида списка - список DLL, совмещенный со списком процессов (после каждого процесса перечисляются его DLL) и список DLL в виде отдельной таблицы без повторов. Последний вариант выбран по умолчанию, т.к. список DLL без повторов гораздо компактнее (в этом списке есть столбец со списком PID процессов, использующих DLL)

 

Переключатель "Службы и драйверы"

Если он включен, то в отчет исследования системы выводится таблица со списком служб и драйверов изучаемого компьютера. Данная функция  не работает на Windows 9x

 

Переключатель "Модули пространства ядра"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей пространства ядра. Данная функция  не работает на Windows 9x

 

Переключатель "Автозапуск"

Если он включен, то в отчет исследования системы выводится таблица со списком автозапускаемых программ. Для каждого элемента автозапуска в примечаниях указано, каким образом он стартует.

 

Переключатель "Настройки SPI/LSP"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения SPI (NSP и TSP провайдеры)

 

Переключатель "Порты TCP/UDP"

Если он включен, то в отчет исследования системы выводится таблица открытых портов TCP/UDP (на Windows XP и 2003 выводится информация о прослушивающем порт приложении)

 

Переключатель "Модули расширения IE"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения Internet Explorer (BHO, панели и т.п.)

 

Переключатель "Модули расширения проводника"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения проводника (explorer.exe). Модули расширения проводника регистрируются в системном реестре и известны вредоносные программы, регистрирующие себя как расширение проводника для обеспечения своего скрытного запуска

 

Переключатель "Модули расширения системы печати"

Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения системы печати - мониторы печати, провайдеры печати. Модуль расширения является обычной библиотекой DLL и известен ряд троянских программ, применяющих такой метод автозапуска.

 

Переключатель "Задания планировщика TaskScheduler"

Если он включен, то в отчет исследования системы выводится таблица c данными о заданиях планировщика.

 

Переключатель "Записи файла Hosts"

Если он включен, то в отчет исследования системы выводится информация о значимых записях файла Hosts (комментарии и пустые строки игнорируются)

 

Переключатель "Протоколы и обработчики"

Если он включен, то в отчет исследования системы выводится информация о настройках протоколов и обработчиков, хранящихся в ключе реестра SOFTWARE\Classes\PROTOCOLS

 

Переключатель "Downloaded Program Files (DPF)"

 

Переключатель "Расширенный анализ"

Если он включен, то запускается сбор дополнительных данных о ПК, влияющих на его защищенность. В текущей реализации фиксируется информация о антивирусе и Firewall и их состояниии (включен/выключен, актуальность баз). Данные записываются в XML отчет, тег <SecurityCenter>.

 

Переключатель "Общие ресурсы"

Если он включен, то в отчет исследования системы выводится информация об общих ресурсах изучаемого ПК. По умолчанию данная опция отключена, так как информация о сетевых шарах не требуется в большинстве исследований. Одно она может быть полезной в случае, если вредоносная программа создала посторонние сетевые шары, которые могут применяться для несанкционированного доступа к информации.

 

Переключатель "Диагностика сети"

Если он включен, то в отчет исследования системы выводится диагностическая информация о настройке сетевых интерфейсов. Также в ходе проверки выполняются DNS запросы к ресурсам, доступ к которым чаще всего перехватывается путем манипуляция с настройками сети и выполняется PING этих ресурсов. По умолчанию данная опция отключена, ее рекомендуется включить в случае, если есть подозрения на проблемы с работой сети.

 

 

 

 

Группа  параметров "Параметры"

 

Переключатель "Исключить из протокола файлы, опознанные как безопасные"

Если он включен, то из отчета исследования системы исключаются все файлы, опознанные по базе безопасных. В большинстве случаев включение данной опции приводит к существенному сокращению размера протокола и упрощению его анализа.

 

Переключатель "Добавить протокол последнего сканирования AVZ"

Если он включен, то к протоколу исследования системы добавляется текущий протокол AVZ, сформированный в ходе последнего сканирования. Включение данной опции удобно в случае необходимости отправки протокола вместе с результатами исследования системы.

 

Переключатель "Создать ZIP архив с протоколом исследования системы"

Если данный переключатель включен, то помимо протоколов исследования автоматически создается архив формата ZIP, содержащий протокол исследования. Эта опция удобна в случае, если протокол необходимо отправить по почте или поместить в конференцию.

 

Переключатель "Добавить в протокол интерактивные элементы для генерации скриптов"

Включение данного переключателя приводит к добавлению в протокол интерактивных элементов, позволяющих полуавтоматически создавать скрипты. Следует учесть, что при открытии такого протокола в IE может  выводиться сообщение системы безопасности о том, что документ содержит активные элементы. Если не разрешить их использование, то протокол откроется, но интерактивные функции в нем будут недоступны.

 

Переключатель "Создать XML протокол для автоматического анализа"

Включение данного переключателя приводит к созданию XML файла, дублирующего HTML протокол. XML файл предназначен для использования в автоматических анализаторах протоколов.

 

Кнопка "Пуск"

Кнопка пуск запускает исследование системы. Перед началом исследования запрашивается имя файла для сохранения протокола. После выбора имени файла проводится исследование системы, формируется файл протокола и выводится запрос на просмотр протокола. В случае согласия пользователя протокол открывается в браузере, применяемом в системе по умолчанию.

 

Кнопка "Закрыть"

Закрывает окно исследования

 

На заметку:

Следует учитывать, что наличие в системе включенного антивируса может замедлить исследование и оно может длиться от 1-2 до 10 минут. Типовое время формирования составляет не более 1 минуты. В процессе исследования в нижней части окна выводится прогресс-индикатор.

 

На заметку:

Перед запуском исследования системы рекомендуется:

1. Запустить браузер - это позволит анализатору изучить загруженные в его адресное пространство библиотеки.

2. Во время исследования системы не рекомендуется запускать и завершать программы, как-то работать с системой - это может повлиять на результаты анализа.