Будет выдан отчет о наличии запрещенных и подозрительных файлов. Щелчок на Лечить позволит просмотреть более подробную информацию. Не все, что найдет программа проверки, является опасным, так как она только анализирует действия других процессов, а, например, антивирусы, брандмауэры и некоторые другие программы также могут перехватывать системные вызовы или скрываться, то есть вести себя подозрительно с точки зрения RegRun. Например, брандмауэр Outpost программа внесла в список подозрительных (рис. 3.14).
Рис. 3.14. Брандмауэр Outpost внесен в список подозрительных программ
С выбранными элементами можно произвести следующие операции:
• Добавить в Исключения – программа или сервис признается полезным, и RegRun больше не будет реагировать на нее;
• База описаний программ – узнать больше о программе;
• Диспетчер служб/Показать в Regedit – вызовет соответствующие системные программы, с помощью которых можно изменить параметры вручную;
• Удалить помеченные/Запуск по умолчанию – остановка или запуск найденной службы;
• Контролировать BHO – вызов окна редактирования Компонентов ядра Windows, в котором можно получить информацию о BHO-, ActiveX-, COM-объектах и автоматически загружаемых DLL-библиотеках.
Полезным модулем является Оптимизатор автозагрузки (рис. 3.15). Вызвать его можно, нажав в Менеджере автозагрузки кнопку
либо через Центр управления, щелкнув на ссылке Запуск и выбрав справа категорию Оптимизировать загрузку.
Рис. 3.15. Оптимизатор автозагрузки
Задача этого модуля проста: на основании записей в базе приложений и установок пользователя определить программы, которые можно убрать из автозагрузки. В первую очередь сюда попадают приложения с меткой Бесполезная. Если они не нужны, их стоит убрать, тогда загрузка системы будет быстрее, а RegRun будет проверять меньше объектов, что также скажется на производительности. Если при отключении какой-то программы вы ошиблись, ее можно включить, снова перейдя в Оптимизатор автозагрузки либо воспользовавшись профилями автозагрузки, которые RegRun автоматически создает при каждом изменении этого параметра. Чтобы запустить профили восстановления, следует щелкнуть на ссылке Запуск и выбрать категорию Профили автозагрузки.
Режим Чистый запуск позволяет загрузить систему с минимальным количеством автоматически загружаемых элементов. Это может быть полезно, когда одна из программ, помещенных в автозагрузку, работает некорректно и мешает нормальному функционированию системы, а также когда есть подозрение о наличии в системе вируса, особенно если его невозможно удалить.
Защита файлов
Одной из самых полезных функций программы является Защита файлов, защищающая компьютер от вирусов, троянцев и работающих со сбоями программ. Функционирует она так. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в папке C:\Мои документы\RegRun2\Files. Правда, само хранилище программа не защищает и на подмену файлов не реагирует. Для редактирования списка защищаемых файлов или их проверки вручную вызовите контекстное меню значка RegRun в области уведомлений и выполните команду Безопасность → Защита файлов (рис. 3.16).
Рис. 3.16. Окно редактирования защищаемых файлов
Для проверки файла выберите его с помощью кнопки мыши и щелкните на значке
При обнаружении модификации защищаемых файлов будет выдано предупреждение с указанием размера и даты создания обоих файлов. Пользователю остается принять решение – оставлять новую модифицированную версию либо восстановить файл из резервной копии? Используя кнопки, модифицированный файл можно копировать, переименовать, удалить, открыть или просканировать с помощью антивирусной программы. Щелкнув на значке с изображением плюса, можно указать файл, целостность которого будет контролироваться RegRun.
Для поиска неизвестных антивирусным приложениям вирусов RegRun открывает и контролирует множество программ-приманок: если обнаруживается изменение любого из этих файлов, RegRun сообщает о присутствии вируса. Для Windows такой приманкой является файл winbait.exe: ее автозапуск заносится в реестр и сравнивается с оригинальным файлом, имеющим имя winbait.org. Для включения такого контроля следует зайти в Центр управления, щелкнуть на ссылке Настройка, в появившемся окне перейти на вкладку Ловушка вирусов и установить флажок В Windows-режиме (периодически во время тестирования).
RegRun совместим со многими известными антивирусами. Для настройки совместной работы необходимо нажать кнопку Антивирусный координатор на этой же вкладке и запустить поиск установленных антивирусов, нажав кнопку Автопоиск. Если антивирус не найден автоматически, его можно указать вручную, нажав кнопку Добавить.
RegRun также определяет файлы, которые будут заменены во время следующей загрузки Windows. Это функция Aнтизамена. Система защищает основные файлы и библиотеки и в рабочем состоянии не дает их заменить, поэтому чтобы установленные драйверы вступили в силу, систему требуется перезагрузить. Однако эту возможность могут использовать вирусы, чтобы внедриться в системный файл. В случае появления таких файлов пользователь предупреждается с возможностью отмены операции.
Полезные утилиты RegRun
Щелкнув в окне Центра управления на ссылке Утилиты, вы найдете еще несколько полезных инструментов. Так, Менеджер процессов позволяет не только просмотреть и при необходимости уничтожить подозрительный процесс, но и получить подробную информацию о загруженных DLL-библиотеках и сетевой активности приложений (рис. 3.17).
Рис. 3.17. Менеджер процессов
Если понадобится просмотреть и отредактировать файлы autoexec.nt, confi g.nt и boot.ini, поможет удобный Редактор системных файлов. Все открытые на компьютере файлы можно просмотреть, выбрав утилиту Открытые файлы.
Полезна также возможность периодического или однократного запуска любой программы. Для этого следует выбрать утилиту Запуск с задержкой.
Наиболее полный контроль над реестром Windows осуществляется в версиях Gold и Platinum. В этих версиях имеется возможность оптимизации реестра, создания резервной копии и восстановления и получения подробной справки по реестру. В версию Standart включен Монитор реестра, который можно запустить, щелкнув в окне Центра управления на ссылке Реестр и выбрав справа категорию Монитор реестра. Его задача – отслеживать попытки изменения важных параметров реестра (рис. 3.18). При такой попытке RegRun выдаст предупреждающее сообщение.
Рис. 3.18. Монитор реестра
В появившемся окне знаком плюса будут отмечены новые параметры реестра, знаком минуса – удаленные. Чтобы подтвердить изменение, необходимо щелкнуть на ОК. Нажатие кнопки Вернуть назад позволит откатить значение к предыдущему, а кнопка Лечить активизирует антивирусную проверку. Если вы не решили, как поступить, щелкните на Позже – монитор повторит запрос через некоторое время.
RegRun имеет собственный Менеджер расширений файлов. В отличие от WinPatrol, который автоматически контролирует попытку изменения соответствия, задача Менеджера расширений файлов – дать пользователю более удобный инструмент для самостоятельной смены и контроля ассоциаций, чем стандартный Проводник. Здесь можно получить полную информацию о каждом приложении, включая имя и путь к исполняемому файлу, его описание и команду запуска. Реализована также возможность поиска.
Для удобства пользователей предусмотрено несколько предустановленных уровней безопасности. По умолчанию выбран средний, подходящий для большинства случаев. Для изменения уровня проверки следует щелкнуть на ссылке Настройка, перейти на вкладку Безопасность и с помощью ползунка установить требуемое значение.
По умолчанию RegRun запускает все выбранные пользователем проверки через каждые 10 минут. Чтобы изменить это время, необходимо щелкнуть на ссылке Настройка, перейти на вкладку Автозапуск и указать в соответствующих полях нужные значения. Если снять флажок Мониторинг, автоматическая проверка будет осуществляться только во время загрузки операционной системы. Для запуска проверки во время отключения компьютера перейдите на вкладку При выключении и установите флажки Проверка при выключении и Проверка замены системных файлов.
3.5. Контроль целостности с Xintegrity
Xintegrity – удобная утилита, которая обнаруживает любое, даже самое незначительное изменение файла практически неограниченного размера. Принцип ее работы прост: первоначально создается список файлов и каталогов, целостность которых необходимо контролировать. Затем в зависимости от установок утилита записывает слепок, позволяющий оценить идентичность данных (так называемую контрольную сумму), либо сохраняет сам файл, предварительно зашифровав его, чтобы избежать подделки.
Удобный и понятный интерфейс позволит занести файл или каталог в базу данных и удалить его из нее при отсутствии необходимости в постоянном контроле. В качестве контрольной суммы используется 128-разрядная хеш-функция MD5 и AES (Advanced Encryption Standard – улучшенный стандарт кодирования) с 256-разрядной длиной ключа, реализованные в режиме CBC (Cipher block chaining – кодирование с поблочной передачей), в котором при шифровании следующего блока данных используются данные предыдущего, что существенно повышает стойкость. Подделать подписанную таким образом информацию практически невозможно. Xintegrity может использоваться как приложение, позволяющее проверить целостность файлов по требованию пользователя либо во время плановой проверки компьютера. Она может работать в фоновом режиме, уведомляя пользователя каждый раз, когда обнаружит изменение. Когда Xintegrity обнаруживает измененный файл, пользователю будет выдана подробная информация, как и когда файл был изменен, и при определенных параметрах создания базы будет предложено заменить его резервной копией. Сама утилита носит сугубо информационный характер – решение всегда принимает пользователь. Xintegrity работает под управлением Windows 2000, XP и 2003. Сайт проекта – http://www.xintegrity.com/.
Программа распространяется как условно бесплатная. Срок ее действия ограничен количеством не дней, а проверок: в незарегистрированной версии их 30. Стоимость программы – $24,95. Много это или мало – решать вам, но, проверяя систему раз в день, можно бесплатно использовать ее в течение месяца, а так как такие проверки можно производить реже (например, раз в неделю), то можно растянуть использование программы на более продолжительное время.
Установка программы традиционна для Windows и заключается в запуске исполняемого файла. Хотелось бы обратить внимание на следующее: такие программы еще не получили широкого распространения, и большинство взломщиков вряд ли будут искать Xintegrity. Чтобы скрыть ее присутствие, можно установить ее в каталог с именем, отличным от предлагаемого, причем как можно более безобидным, например Player.
Установив в последнем окне флажок Launch XintegrityProfessional.exe, запустите приложение. Открывшееся окно будет появляться постоянно и напоминать об оставшемся количестве проверок и необходимости регистрации продукта. Для начала работы нажмите Continue – отобразится окно, в котором нужно ввести пароль для доступа к утилите, защищающий базы от модификации, и нажать Enter.
После этого появляется главное окно программы – пока пустое. Необходимо создать базу и наполнить ее файлами. Для этого выполните команду меню Database → Create a Database, в появившемся диалоговом окне Create а new file database введите название будущей базы данных и c помощью кнопки Browse укажите, где она будет располагаться (рис. 3.19). Разработчики учли возможность скрытого применения утилиты, не ограничивая пользователя в этих параметрах: можно указать любое название, расширение и месторасположение.
Рис. 3.19. Создание файла новой базы данных
Назвав файл буднично, например kursovik.rtf или song.mp3, и сохранив в папке, где хранятся подобные файлы, можно скрыть базу. При этом Windows покажет обычный значок Microsoft Word, и этот файл не будет отличаться от остальных, но при попытке открыть его двойным щелчком отобразится некорректно. В области Database message digest algorithm выберите алгоритм шифрования базы данных. Чем ниже значение, тем большая защита обеспечивается, но и потребуется большее время для шифровки и расшифровки. После нажатия кнопки ОК создается пустая база данных. При открытии любой базы Xintegrity автоматически проверяет себя и все зарегистрированные базы на предмет целостности.
База создана, теперь ее необходимо наполнить. Для этого воспользуйтесь меню Add, в котором доступны несколько вариантов, позволяющих гибко отбирать файлы для добавления. Например, выбрав пункт Specific file, можно добавить отдельный файл, а выбрав пункт According to Location, указать каталог, все файлы которого будут занесены в базу. Отобрать файлы определенного размера можно, выбрав пункт Аccording to Size, по времени модификации или создания файла – Аccording to Time, по типу файла – According to Type, по атрибутам – According to Attributes, содержащие определенный текст – Аccording to Contents, по функциональным возможностям – Аccording to Abilities/Functionality. Например, с помощью последнего варианта можно занести сразу все системные файлы или файлы, работающие в Сети, а также Cookie. Пункт All Files включает в себя все вышеперечисленные возможности. Файл или каталог можно также просто перетащить в окно программы или вставить из буфера обмена. При этом файлы, расположенные на дисках с файловой системой FAT32, NTFS, и сетевые папки могут быть перечислены в одной базе данных.
Можно использовать практически любые условия, поэтому можно создать несколько баз, в одну собрав исполняемые файлы – в таком случае она будет работать почти как антивирус (не забудьте об Explorer.exe, его очень любят вирусы), в другую – системные, в третью – сетевые ресурсы, к которым вы имеете доступ, в четвертую – файлы, способные работать в Сети (так вы застрахуете систему от троянцев). Контролировать фильмы, музыку и графику не имеет особого смысла, хотя кому-то это может быть важно. Меню Remove, с помощью которого файлы удаляются из базы, содержит те же пункты. Прежде чем создавать базу, зайдите в меню Сonfiguration: в нем присутствует один пункт Adjust Xintegrity Professional Configuration, щелкнув на котором, можно настроить параметры резервирования (рис. 3.20).
Рис. 3.20. Настройка Xintegrity
Например, флажок Backup the files listed in each database (for possible subsequent restoration) позволяет создавать резервные копии всех контролируемых Xintegrity файлов. При обнаружении изменения любой файл можно вернуть на место измененного. Это позволяет использовать Xintegrity как средство восстановления системы вместо стандартного, в Windows XP ограниченного по возможностям. Однако в данном случае для базы потребуется количество свободного места, равное объему всех контролируемых файлов. Установка флажка Encrypt the backup files укажет Xintegrity на необходимость шифрования всех резервируемых файлов, что позволит избежать их подделки. Backup each database кроме основной создаст резервную копию базы.
Перейдя на вкладку Background Checking и установив флажок Enable background checking at system start up, можно указать на необходимость периодической проверки в фоновом режиме. Чтобы результат такой проверки выводился не только в виде сообщений, но и отправлялся по электронной почте, перейдите на вкладку Email и установите флажок Enable email notification. Затем в поле Recipient Email address укажите электронный адрес, на который должны приходить сообщения. Сообщения могут отправляться в двух случаях:
• Send Email after each scheduled database check – после каждой проверки;
• Send Email only when modifications are detected – только в случае обнаружения расхождений.
После указания на файлы база начнет заполняться. Этот процесс может занять некоторое временя, по окончании которого отобразится общий отчет и окно, в котором будут выведены все файлы с указанием их атрибутов, количества и размеров базы (рис. 3.21).
Рис. 3.21. База данных заполнена
Всю информацию можно распечатать, выполнив команду Database → Print. Созданные базы данных можно проверять индивидуально или последовательно, используя один из четырех режимов проверки. Для проверки открытой базы данных выполните команду Checking → Check All Files In The Open Database. Для проверки всех баз – Checking → Checking Schedule, при этом с помощью переключателя можно выбрать один из двух режимов: Standard Mode и Continuous Mode. Сначала из раскрывающегося списка нужно выбрать базы, которые будут проверяться. Затем задать время, через которое должна начаться проверка. Теперь, если выбрать Standard Checking, базы будут проверены однократно через установленное время, после чего будет выведен отчет. При выборе Continuous Checking проверка будет выполняться до остановки пользователем или выключения компьютера. Чтобы выбранный вариант запустился, выполните команду Checking → Start Scheduled Checkin. При этом все проверяемые базы должны быть закрыты. Как вариант, нажмите зеленую кнопку