Современная операционная система, такая как Windows, включает в себя сотни различных программных компонентов. Управление памятью, доступ к жесткому диску, работа с сетью и т.д.
Отслеживание автозапуска программ с помощью Autoruns
Десятки взаимосвязанных между собой программных элементов, обеспечивают основные и сервисные функции ОС. Для их своевременной загрузки, запуска и согласования их функций с другим компонентами служит механизм автозапуска.
Несложно понять, что для нормальной работы компонентов, они должны загружаться и активизироваться в строго определенном порядке.
Например, сервис электронный почты не может нормально работать, если не загружен компонент обслуживания сети; начало сеанса работы пользователя невозможно до того, как будут загружены элементы интерфейса рабочего стола и т.д.
Десятки драйверов различных устройств загружаются и запускаются ровно в тот момент, когда в них возникает необходимость. Функции своевременного запуска как раз и обеспечивает т.н. “механизм автозагрузки”.
В обычной ситуации вмешиваться в работу системы автозапуска не нужно. К сожалению, не только системные компоненты запускаются и выгружаются в нужный момент.
Вирусы и различные вредоносные программы так же стараются использовать алгоритмы системного автозапуска в своих целях. Ведь вирус или троян, который не может своевременно загрузиться, не сможет осуществлять своих функций.
Например, троян, перехватывающий вызовы драйвера клавиатуры, чтобы отслеживать ввод паролей и другой конфиденциальной информации, должен загрузиться непосредственно после того, как будет загружен сам драйвер клавиатуры.
Сетевой червь старается загрузиться в точке, когда сетевые интерфейсы уже работоспособны, но системы слежения (вроде файерволов и антивирусов) еще не активны. Примеров злонамеренного использования системы автозапуска можно привести множество.
Если в какой-то момент возникала необходимость проверить состав, очередность и состояние компонентов, загружаемых автоматически, то для этого потребуется специальная утилита.
Существует много программ, позволяющих анализировать и управлять набором программ, загружаемых по умолчанию (или загружаемых на разных этапах работы системы). Одна из таких программ — Autoruns из пакета системных утилит Sysinternals.
Поскольку основная функция подобных программ — понять необходимость запуска той или иной программы (или компонента) в конкретный момент времени, то основными являются функции детального анализа компонента (принадлежность, функционал и пр.), и функция отключения автозапуска.
Утилита Autoruns, помимо основных функций, имеет несколько вспомогательных: фильтры по классам сервисов (драйвера, сервисы, системы печати и пр.), запуск утилит мониторинга активности данного компонента, проверку принадлежащего компоненту раздела реестра и местоположение компонента на диске.
Такой набор инструментов для анализа запуска и активности процесса позволяет в полной мере проанализировать и исключить из работы вредоносные или потенциально вредоносные компоненты.
Опытные пользователи, как правило, хорошо понимают как опознать вредоносный компонент. Не слишком искушенным пользователям можно посоветовать внимательно проверять принадлежность компонентов производителям ПО, размещение компонентов на жестком диске и информацию системного реестра. В крайнем случае можно поискать информацию в интернете.
Внимательный подход к анализу информации о запускаемых компонентов при помощи Autoruns позволит с большой долей вероятности исключить вредоносные компоненты из автозапуска даже не слишком опытному пользователю.
