Список полезных программ для борьбы с вирусами
======= Файловая система
Непосредственно проследить хождение виря по ващей файловой системе помогут следующие утилиты.
Вы сможете определить место нахождение тела вируса, отследить его размножение, определить местопоожение лог-файла в случае кейлогера.
Также программы помогут разблокировать файл, выгрузить инжектированную в процесс вредоносную длл и многое другое.
Filemon v6.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Логирование всех операций с файлами - открытие, запись, чтение... Есть система фильтров.
Unlocker 1.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Утилита позволяющая разблокировать файл, занятый другим процесом.
Работает в полуавтоматическом режиме. Не всегда справляеться с задачей.
Advanced Process Manipulation
[Ссылка заблокирована: Зарегистрируйтесь!]
Позволяет делать давольно сложные вещи, такие как выгрузка отдельных модулей процесса.
DLL Control by Sanja
[Ссылка заблокирована: Зарегистрируйтесь!]
Программа коммандной строки позволяющая загружать и выгружать dll.
Классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса
Использование:
DllCtrl.exe -unloadall c:\virus.dll
DllCtrl.exe -unload 1234(pid) c:\virus.dll
DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
======= Реестр
Выследить прописку вируса в реестре вам также не составит труда. Даже самый изощрённый автозапуск будет отслежен.
С помощью этих утилит вы также можете ограничить доступ к реестру, исключая его повреждение, либо восстановить его после вирусной атаки из резервной копии.
Regmon v7.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Логирование всех операций с реестром - открытие, запись, чтение... Есть система фильтров.
RegProtector
[Ссылка заблокирована: Зарегистрируйтесь!]
Монитор реестра. Логирует все изменения, может блокировать доступ, ограничивать только на чтение и др.
RegKey LastWriteTime Scaner
[Ссылка заблокирована: Зарегистрируйтесь!]
Крохотная программа для поиска в реесте ключей, измененных/созданных в выбранном интервале времени.
Найденные ключи можно быстро открыть в regedit.
ERUNT 1.*
[Ссылка заблокирована: Зарегистрируйтесь!]
[Ссылка заблокирована: Зарегистрируйтесь!]
Утилита для сохранения и восстановления файла реестра, работающая через командную строку.
По этой причине идеально подходит для настройки автоматического бэкапа с помощью планировщика заданий.
Прога проста как две копейки, но работает великолепно.
======= Процессы
Процессы - самая интересная и важная часть. Чем быстрее вирусный процесс будет уничтожен, тем меньше дров зверь успеет наломать в системе.
Приведённые программы способны не только обнаружить скрытый процесс, но и уничтожить его.
Гарантия уничтожения - 100% - ничто не устоит и не скроеться. Процессы антивирусов и фаерволов тоже отлично гасятся =]
ProcViewer
[Ссылка заблокирована: Зарегистрируйтесь!]
Простая, но эффективная альтернатива таскменеджеру - показывает запущенные процессы.
Видит скрытые процессы троянов, которые невозможно обнаружить при помощи большинства существующих просмотрщиков процессов.
Advanced Process Termination
[Ссылка заблокирована: Зарегистрируйтесь!]
Програмка убивающая любые процессы. Может быть полезна что бы убить процессы созданные вирусами.
DelayDel
[Ссылка заблокирована: Зарегистрируйтесь!]
Консольная программа сля удаления "неудаляемых" файлов после перегрузки.
Использование: delaydel.exe <file>
Kernel PS v0.4
[Ссылка заблокирована: Зарегистрируйтесь!]
Если не справились предыдущие - эта прога не подведёт. Просто зверь - убъёт ЛЮБОЙ процесс.
Программа работает с командной строкой. Позволяет получить список всех запущенных процессов, в том числе и скрытых. Не работает на Win9x/ME.
Так же позволяет убить любой процесс, в том числе и защищённый системой, а так же процессы руткитов.
======= Автозагрузка
Оперативно просмотреть основные и не только основные ключи и места автозагрузки вам помогут эти программы.
Крайне полезны не только для борьбы с заразой
Autoruns
[Ссылка заблокирована: Зарегистрируйтесь!]
Программа позволяющая просмотреть список программ запускающихся при старте Windows.
Большое приемущество данной программы, это опция скрыть компоненты Windows имеющие цифровую подпись Microsoft.
Это значительно облегчает поиск ненужных и вредных программ.
Auto Start Control 2.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Знает очень много ключей автозапуска, в т.ч. недокументированных или плохо документированных.
И может показать их (только непустые) для всех пользователей, имеющих учетные записи на данном компьютере.
Silent Runners.vbs
[Ссылка заблокирована: Зарегистрируйтесь!]
Скриптик для анализа автозагрузки. Знает некоторые нестандартные методы запуска программ.
Starter 5.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Очень полезная утилитка от CodeStuff (
[Ссылка заблокирована: Зарегистрируйтесь!]).
Программа позволяет управлять запуском программ при старте Windows (из мест типа Автозагрузка и реестра) и процессами при работе - все как на ладони, видно кто и что использует.
Установка не требуется, все очень информативно и удобно. К тому же красиво. Может пригодиться при чистке реестра от вирусов.
======= Сторожи
Парочка утилит, которые работают в качестве сторожей и просто не позволят вирю забуриться, вовремя его остановив.
Рекомендуються к применению. Более подробно данный класс программ рассмотрен здесь:
ВЫБЕРИ СВОЙ Anti-spy
Security Task Manager 1.6C
[Ссылка заблокирована: Зарегистрируйтесь!]
кряк под неё есть на
[Ссылка заблокирована: Зарегистрируйтесь!]
Накрученный до предела task manager:
- показ степени опасности запущенных процессов для системы
- анализ инфы о производителе
- путь к файлу
- время запуска процесса
- степень загрузки проца, его тип
- тип окна: обычное окно, невидимое окно, библиотека, плагин для IE, и т.д.
- сертификация процесса
- анти-кейлогер
- время запуска проги в симбиозе с запущеной
На основе выше написанной информации расчитывает рейтинг опасности.
WinTasks Pro v 5.0
Примерно тоже самое.
Качественный анализ и оценка процессов в системе, подробнейшая информация о них.
======= Сетевая активность
Теперь несколько программ, мониторящих сетевые подключения. Они позволят вам получить минимальную информацию о сетевой активности.
С помощью них, вы будете информированы о сетевых подключениях, состоянии подведомственных вам машин в сети.
TCPView v2.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Мониторинг TCP\UDP соединений. В Windows NT, 2000 и XP TCPView даже отображает имя процесса, отображение адресата\отправителя. Включает в себя tcpvcon.
TCPVcon v2.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Показывает все открытые сокеты. Работает из под командной строки.
TDIMon v1.*
[Ссылка заблокирована: Зарегистрируйтесь!]
TCP/IP МОНИТОР
ShareEnum v1.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Сканирует вашу сеть и мониторит параметры безопасности, указывает на дыры.
Remote Recover v2.*
[Ссылка заблокирована: Зарегистрируйтесь!]
Имея доступ к системам через LAN или WAN, вы можете системным дискам x86 NT.
Вы можете востанновить данные. При доступе на запись можно проверять chkdsk'ом, форматировать диски.
Для более полноценного изучения трафика рекомендуеться применять специализированные сниферы:
Сниферы и их совместимость
Сниферы. Защита и нападение
Локальные Войны
======= Контроль целостности файлов
MD5summer
[Ссылка заблокирована: Зарегистрируйтесь!]
Отличная утилита, позволяющая подсчитать в указанной папке чек-сумму всех файлов по алгоритму md5\sh1. А затем при надобности - провести сравнение.
Крайне полезная вещь - после установки на винду всех патчей делаешь чек-снимок файлов в C:\WINDOWS
Очень мне помогла однажды, когда коварный трой умело спрятался в системе и возрождался как ни в чём ни бывало после перезагрузки...
Если вдруг происходят подозрительные явления - проводишь сравнение - выявляешь изменённые файлы.
Ну, далее в зависимости от опыта и желания - либо расковырять их дизассемблером, либо просто сменить на старые из зараннее сделанного бэкапа.
======= В борьбе с руткитами
Несколько программ, способных отлавливать самых опасный и изощрённый тип вируса - руткиты.
Руткит опасен тем, что он тщательно прячеться, скрывает своё пребывание в системе.
Антивирусы против них зачастую бессильны.
RootkitRevealer
[Ссылка заблокирована: Зарегистрируйтесь!]
Программа для обнаружения руткитов от Sysinternals
VICE
[Ссылка заблокирована: Зарегистрируйтесь!]
Программа для обнаружения руткитов
Phunter
[Ссылка заблокирована: Зарегистрируйтесь!]
Программа для поиска скрытых процессов.
Antikit
[Ссылка заблокирована: Зарегистрируйтесь!]
Програмка отлавливающая руткиты, обнаружить которые не может большинство антивирусов. Запуск из командной строки.