7.1. Исследование системы

Исследование системы - это функция, позволяющая изучить систему и сформировать HTML протокол, позволяющий обнаружить подозрительные файлы и программы. Исследование системы может применяться для  оперативного изучения системы и (или) последующей отправки протокола для анализа в конференции вирусологов.
Запуск исследования системы производится из меню "Файл / Исследование системы", при выполнении которого выводится диалоговое окно исследования системы.
Переключатели позволяют указать, какую информацию необходимо собрать в ходе исследования системы. По умолчанию все переключатели включены и сбор информации идет по максимуму.
На исследование системы оказывает влияние антируткит (поскольку нейтрализация перехватов может привести к отображению маскируемой руткитом информации) и наличие в системе драйвера расширенного мониторинга системы AVZPM.
 
Важно отметить факты, касающихся исследование системы:
1. В ходе исследования не производится активное воздействие на систему (не правится реестр, не оказывается воздействие на состояние запущенных процессов или служб и т.п.). Как следствие, его можно повторять многократно без риска для ПК, и после исследования не требуется перезагрузка.
2. В ходе исследования системы AVZ не обменивается с "облаком" и какими бы то ни было внешними ресурсами, и никуда не передает собираемую информацию. Как следствие, доступ в сеть Интернет исследуемому ПК не требуется.
3. Созданные в ходе исследования протоколы никуда не передаются, сохраняются в указанном пользователем месте на диске, и могут быть просмотрены пользователем при помощи любого браузера, или отправлены пользователем на исследование по запросу специалистов.
 
Группа  параметров "Собираемая информация"
 
Переключатель "Запущенные процессы"
Если он включен, то в отчет исследования системы выводится таблица со списком процессов.
 
Переключатель "Библиотеки процессов"
Данный переключатель доступен, если включен переключатель "Запущенные процессы". Если он включен, то в отчет исследования системы выводится таблица со списком библиотек, используемых запущенными процессами. Поддерживается два вида списка - список DLL, совмещенный со списком процессов (после каждого процесса перечисляются его DLL) и список DLL в виде отдельной таблицы без повторов. Последний вариант выбран по умолчанию, т.к. список DLL без повторов гораздо компактнее (в этом списке есть столбец со списком PID процессов, использующих DLL)
 
Переключатель "Службы и драйверы"
Если он включен, то в отчет исследования системы выводится таблица со списком служб и драйверов изучаемого компьютера. Данная функция  не работает на Windows 9x
 
Переключатель "Модули пространства ядра"
Если он включен, то в отчет исследования системы выводится таблица со списком модулей пространства ядра. Данная функция  не работает на Windows 9x
 
Переключатель "Автозапуск"
Если он включен, то в отчет исследования системы выводится таблица со списком автозапускаемых программ. Для каждого элемента автозапуска в примечаниях указано, каким образом он стартует.
 
Переключатель "Настройки SPI/LSP"
Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения SPI (NSP и TSP провайдеры)
 
Переключатель "Порты TCP/UDP"
Если он включен, то в отчет исследования системы выводится таблица открытых портов TCP/UDP (на Windows XP и 2003 выводится информация о прослушивающем порт приложении)
 
Переключатель "Модули расширения IE"
Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения Internet Explorer (BHO, панели и т.п.)
 
Переключатель "Модули расширения проводника"
Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения проводника (explorer.exe). Модули расширения проводника регистрируются в системном реестре и известны вредоносные программы, регистрирующие себя как расширение проводника для обеспечения своего скрытного запуска
 
Переключатель "Модули расширения системы печати"
Если он включен, то в отчет исследования системы выводится таблица со списком модулей расширения системы печати - мониторы печати, провайдеры печати. Модуль расширения является обычной библиотекой DLL и известен ряд троянских программ, применяющих такой метод автозапуска.
 
Переключатель "Задания планировщика TaskScheduler"
Если он включен, то в отчет исследования системы выводится таблица c данными о заданиях планировщика.
 
Переключатель "Записи файла Hosts"
Если он включен, то в отчет исследования системы выводится информация о значимых записях файла Hosts (комментарии и пустые строки игнорируются)
 
Переключатель "Протоколы и обработчики"
Если он включен, то в отчет исследования системы выводится информация о настройках протоколов и обработчиков, хранящихся в ключе реестра SOFTWARE\Classes\PROTOCOLS
 
Переключатель "Downloaded Program Files (DPF)"
Если он включен, то в отчет исследования системы выводится информация о Downloaded Program Files - специализированных приложениях, загружаемых Internet Explorer
 
Переключатель "Апплеты панели управления (CPL)"
Если он включен, то в отчет исследования системы выводится информация об апплетах, используемых панелью управления Windows. Подобные файлы имеют расширения CPL.
 
Переключатель "Приложения Active Setup"
Включает в отчет список приложений, зарегистрированных в качестве Active Setup инсталляций. Известен ряд вредоносных программ, применяющих регистрацию в Active Setup для скрытного автозапуска.
 
Переключатель "Расширенный анализ"
Если он включен, то запускается сбор дополнительных данных о ПК, влияющих на его защищенность. В текущей реализации фиксируется информация о антивирусе и Firewall и их состоянии (включен/выключен, актуальность баз). Данные записываются в XML отчет, тег <SecurityCenter>.
 
Переключатель "Общие ресурсы"
Если он включен, то в отчет исследования системы выводится информация об общих ресурсах изучаемого ПК. По умолчанию данная опция отключена, так как информация о сетевых шарах не требуется в большинстве исследований. Одно она может быть полезной в случае, если вредоносная программа создала посторонние сетевые шары, которые могут применяться для несанкционированного доступа к информации.
 
Переключатель "Диагностика сети"
Если он включен, то в отчет исследования системы выводится диагностическая информация о настройке сетевых интерфейсов. Также в ходе проверки выполняются DNS запросы к ресурсам, доступ к которым чаще всего перехватывается путем манипуляция с настройками сети и выполняется PING этих ресурсов. По умолчанию данная опция отключена, ее рекомендуется включить в случае, если есть подозрения на проблемы с работой сети.
 
 Группа  параметров "Параметры"
 
Переключатель "Исключить из протокола файлы, опознанные как безопасные"
Если он включен, то из отчета исследования системы исключаются все файлы, опознанные по базе безопасных. В большинстве случаев включение данной опции приводит к существенному сокращению размера протокола и упрощению его анализа.
 
Переключатель "Добавить протокол последнего сканирования AVZ"
Если он включен, то к протоколу исследования системы добавляется текущий протокол AVZ, сформированный в ходе последнего сканирования. Включение данной опции удобно в случае необходимости отправки протокола вместе с результатами исследования системы.
 
Переключатель "Создать ZIP архив с протоколом исследования системы"
Если данный переключатель включен, то помимо протоколов исследования автоматически создается архив формата ZIP, содержащий протокол исследования. Эта опция удобна в случае, если протокол необходимо отправить по почте или поместить в конференцию.
 
Переключатель "Добавить в протокол интерактивные элементы для генерации скриптов"
Включение данного переключателя приводит к добавлению в протокол интерактивных элементов, позволяющих полуавтоматически создавать скрипты. Следует учесть, что при открытии такого протокола в IE может  выводиться сообщение системы безопасности о том, что документ содержит активные элементы. Если не разрешить их использование, то протокол откроется, но интерактивные функции в нем будут недоступны.
 
Переключатель "Создать XML протокол для автоматического анализа"
Включение данного переключателя приводит к созданию XML файла, дублирующего HTML протокол. XML файл предназначен для использования в автоматических анализаторах протоколов.
 
Кнопка "Пуск"
Кнопка пуск запускает исследование системы. Перед началом исследования запрашивается имя файла для сохранения протокола. После выбора имени файла проводится исследование системы, формируется файл протокола и выводится запрос на просмотр протокола. В случае согласия пользователя протокол открывается в браузере, применяемом в системе по умолчанию.
 
Кнопка "Закрыть"
Закрывает окно исследования
 
На заметку:
Следует учитывать, что наличие в системе включенного антивируса может замедлить исследование и оно может длиться от 1-2 до 10 минут. Типовое время формирования составляет не более 1 минуты. В процессе исследования в нижней части окна выводится прогресс-индикатор.
 
На заметку:
Перед запуском исследования системы рекомендуется:
1. Запустить браузеры - это позволит анализатору изучить загруженные в его адресное пространство библиотеки.
2. Во время исследования системы не рекомендуется запускать и завершать программы, как-то работать с системой - это может повлиять на результаты анализа.