Оригинал:
На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.
План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).
Мы вовсе не настаиваем на сносе твоего любимого Internet security, но прочитать статью «
Что делать в случае заражения?
Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:
К тому же если зловред является частью
Хардкорным читателям советуем прочесть наш цикл статей про
Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.
Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему.
Поиск процессов и обезвреживание малвари в памяти
Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM — из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь
Итак, к нам на помощь придут утилиты — самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, — это
На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:
Рабочее окно утилиты Process Monitor
Вторая, более навороченная тулза — это
Рабочее окно утилиты Process Explorer
Просмотр списка процессов в System Explorer
В утилиту встроена база данных — можно проверить наличие вредоносного кода в конкретном файле и отправить на сервер отчет VirusTotal.
Проверка процесса на безопасность в System Explorer
Тулза позволяет закрыть любой процесс и группу связанных процессов, которые тормозят работу системы или программы, просмотреть историю действий для любой программы. Поддерживается работа с плагинами. Интерфейс разделен на вкладки, каждая из которых посвящена конкретным задачам. System Explorer позволяет управлять объектами автозапуска, просматривать и оперативно деинсталлировать установленные приложения, управлять службами Windows и многое другое.
Режим Explorer с более наглядной формой вкладок
Тулза четвертая — это
Список процессов в AnVir Task Manager
Список инсталлированных в систему драйверов в AnVir Task Manager
В самом простом случае имя процесса совпадает с именем исходного exe-файла, который был запущен. Поэтому и самый простой способ найти малварь — это просмотреть весь список запущенных процессов и обратить внимание на те, которые вызывают подозрения. Но есть и более сложные ситуации, когда вирмейкеры используют системные имена, к примеру системных служб
На выручку нам придет утилита
Основное окно утилиты AVZ
Поэтому тулза может сканировать оперативную память и детектировать скомпрометированные процессы. Помимо этого, она имеет ряд крутых фич: собственный драйвер для обнаружения руткитов (kernel-mode), кейлоггеров и троянских DLL, прямой доступ к диску для работы с заблокированными файлами на томах NTFS, в том числе помещения их в карантин, анализатор открытых портов TCP/UDP с целью обнаружения RAT, анализатор Winsock SPI/LSP корректности сетевых настроек, анализатор мусорных настроек Internet Explorer, а также модуль проверки целостности системного реестра, BHO, расширений IE и проводника (Explorer) и анализатор всех доступных видов автозапуска.
Опции восстановления системы в AVZ
Просмотр сетевых соединений в AVZ
Охота на невидимок
Реальную проблему в борьбе с малварью представляют поиск и обезвреживание руткитов, поскольку они используют особые системные фичи, например перехват и модификация
Ручной поиск тут почти безуспешен, и без специальных утилит нам не обойтись. По некоторым методам работы антируткиты близки к антивирусным движкам, так как могут испробовать сигнатурный и эвристический метод детектирования, но все же не являются антивирусным ПО в привычном понимании. Рассмотрим несколько наиболее известных и широко используемых в практике инструментов.
Окно с результатами поиска руткитов в RkUnhooker
Окно с результатами поиска руткитов в GMER
Окно с результатами поиска руткитов в UnHackMe
Окно с результатами поиска руткитов в HijackThis
Главное окно программы TDSSKiller
Обнаружение руткитов в TDSSKiller
Просмотр подозрительных процессов в SpyDllRemover
Чистим автозапуск
Одна из функций малвари — обеспечить себе повторный запуск после выключения или перезагрузки машины. Наиболее часто используемый метод — это прописать исполняемый файл зловреда в
Главное окно утилиты Autoruns
Скажем пару слов об интерфейсе и вкладках:
Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой
Первое, что приходит на ум, — это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.
Штатные инструменты Windows для восстановления реестра
«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, — это функциональность морально устаревшей
Интерфейс утилиты NTBackUp
Загрузившись в
Все, перезагружаем машину и смотрим на результат!
Продвинутые методы восстановления реестра
Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.
Интерфейс утилиты WinRescue for Windows 7
GUI-интерфейс утилиты ERUNT
Береженого MBR бережет
Теперь мы поговорим о MBR. Ты помнишь, что это вообще такое? Чересчур углубляться в теорию не станем. В двух словах, MBR (master boot record) — это набор кода и данных, необходимых для первоначальной загрузки операционной системы с жесткого диска. Поэтому MBR в русскоязычном варианте часто называют просто загрузочными секторами. MBR указывает переход в тот раздел жесткого диска, с которого следует исполнять дальнейший код, в нашем случае — загружать ОС.
Почему нам это важно? Да потому, что малварь еще с эпохи MS-DOS девяностых годов умела
Дело в том, что MBR находится в «невидимой области» жесткого диска и не всеми стандартными средствами резервирования можно сделать его бэкап.
Фиксим MBR в консоли
В эпоху Windows XP для восстановления системы без переустановки часто использовалась
Fixmbr
Fixboot
Команда fixmbr позволяла найти и автоматически исправить ошибки в MBR. Команда fixboot помечала раздел как bootable, прописывала загрузчик ntloader в boot-сектор, копировала на раздел необходимые системные файлы и генерировала файл
Вызов справки по командам восстановления MBR в консоли восстановления Windows
Продвинутые средства для восстановления MBR
Универсальным вариантом защиты MBR станет создание его резервной копии и при необходимости восстановление ее на боевую систему. Поскольку, как мы уже говорили, загрузочные сектора недоступны для редактирования из-под работающей ОС, необходимо воспользоваться специальными инструментами.
Окно мастера резервного копирования в Comodo Backup
Итак, запускаем тулзу в режиме Live CD, выбираем опцию бэкапа mbr, далее место сохранения, и наша резервная копия готова! Если на инфицированной машине будет поврежден загрузчик, мы можем просто его восстановить, операция занимает всего несколько минут.
Если ты юзаешь Linux в качестве ОС, то можешь воспользоваться
Путь от MBR до UEFI и GPT
В 2010 году на смену много лет существовавшей классической BIOS пришла новая технология, получившая название
Поскольку структура GPT отличается от структуры классического MBR, сохранить его описанным выше способом не удастся. Выходом станет создание цельного образа системы, например штатной утилитой «
Спасение системных файлов
Нередко малварь из-за содержащихся в ней ошибок или сопротивляясь лечению повреждает некоторые системные файлы, что приводит ОС в неработоспособное состояние. Переустановка ОС в данном случае не наш выбор, так как это займет гораздо больше времени и, что немаловажно, затрет настройки ПО и прочую ценную информацию. Поэтому восстанавливать систему нужно точечными действиями, то есть именно в тех местах, где она была повреждена.
Проверка и восстановление системных файлов Windows
Штатная утилита
На практике проверить целостность системных файлов Windows можно с помощью команды консоли
sfc /scannow
Но у sfc /scannow может не получиться исправить ошибки в системных файлах. В этом случае, как вариант, ты можешь ввести в командной строке
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"
Эта команда создаст текстовый файл sfc.txt на твоем рабочем столе со списком файлов, исправить которые не удалось. Ты можешь его просмотреть и при необходимости вручную скопировать нужные файлы с другого компьютера с той же версией Windows или с оригинального дистрибутива ОС.
Окно консоли Windows с результатами выполнения команды sfc
Наиболее критичные системные файлы:
Малварь может инсталлировать в систему свои драйверы, к примеру для перехвата данных, введенных с клавиатуры, или для скрытия следов своего присутствия в инфицированной системе. Таким образом, она может удалить оригинальный драйвер или некорректно попытается его пропатчить. Поэтому сейчас речь пойдет о том, как по-быстрому восстановить оригинальное состояние работающих в системе драйверов. Лучшим вариантом будет создать эталонный набор драйверов, инсталлированных в работающей системе, и при необходимости не ковырять каждый по отдельности, а восстановить их все разом. Для этого воспользуемся несколькими тулзами.
Окно утилиты SlimDrivers
Окно утилиты Double Driver
Фиксим проводник и другие ошибки системы
Даже после восстановления работоспособности системы и удаления малвари из ОС могут остаться неприятные следы — последствия инфицирования. К примеру, может пропасть ассоциация файлов с нужной программой, будет заблокирован штатный диспетчер задач Windows, недоступен редактор реестра (regedit), невозможно будет открыть панель управления. Что же с этим делать? Практически все изменения обратимы. Конечно, можно самостоятельно вручную копаться в реестре, искать нужные ключи конфигурирования и восстанавливать их, прописывая значения по умолчанию, но мы обратимся за помощью к специальным тулзам, заточенным под это дело. Итак, встречай!
Окно утилиты Microsoft Easy Fix
Окно утилиты FixWin 10
Запускаем сеть по-новому
Исходя из заложенных в нее алгоритмов, малварь может манипулировать сетевыми настройками системы, изменяя маршрутизацию трафика, подделывать разрешение DNS-имен и тому подобное. Соответственно, в этих условиях нескорые хосты, веб-сайты и облачные сервисы могут стать недоступны или работать некорректно. Также код малвари может содержать ошибки, некорректно отрабатывать, что в конечном счете способно полностью положить нашу сеть.
Восстанавливаем hosts
Больше всего на свете малварь любит манипулировать с файлом
Другой кейс — это использование данного файла с целью фишинга, то есть перенаправления с IP-адресов легальных ресурсов, таких как социальные сети, онлайн-банк, на их поддельные аналоги. Но и решение данной проблемы тоже довольно простое. Достаточно будет заменить измененный hosts на оригинальный файл, к примеру взятый из резервной копии, или даже вовсе заменить его пустым файлом, не содержащим записей, но имеющим указанное имя и располагающимся по указанному пути. Кстати, нелишне было бы проверить, где hosts должен лежать в данном экземпляре системы, поскольку любое значение по умолчанию можно изменить. Точный путь расположения файла можно узнать в ключе реестра по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath.
Восстанавливаем работу сетевых служб
Второе, на что стоит обратить внимание при восстановлении работоспособности сети, — это состояние запущенных сетевых служб Windows. Есть случаи, когда зловред намеренно останавливает сетевую службу или ставит ее на паузу для собственных манипуляций, а после не успевает перезапустить или делает это с ошибкой. В результате у нас блокируется обмен сетевым трафиком. Вариантов тут несколько.
Можно зайти через «Панель управления → Администрирование → Службы» или по-быстрому запустить ту же самую консоль через Win + R, написав services.msc. Мы видим список всех служб Windows, нас в данном случае интересуют только несколько
Ну и настоящий профессиональный вариант — это работа в консоли. Открываем CMD, пишем в нем net start или net start | more и видим, какие службы сейчас запущены.
Чтобы запустить службу, тут же из консоли достаточно набрать net start <имя службы>. Помнить названия всех служб необязательно, достаточно будет посмотреть подробное инфо с помощью команды sc query type= service state= all или глянуть
Из консоли любую службу можно запустить по команде net start <имя службы>, например стартануть DNS можно так:
net start DNS
Итак, службы мы наладили, но сеть по-прежнему недоступна или работает с перебоями? Идем дальше!
Правим маршрутизацию и проверяем порты
Малварь может прописывать динамические маршруты в локальную таблицу маршрутизации Windows и менять таким образом обмен сетевым трафиком с другими хостами. Например, если наша машина получает все сетевые настройки по DHCP-протоколу, в случае его некорректной работы мы останемся без интернета. Придется снова лезть в консоль!
Чтобы удалить новые маршруты и вернуть таблицу маршрутизации к исходному виду, набираем соответственно
route print
route delete *
Иногда этого может оказаться мало и приходится сбрасывать настройки к значениям по умолчанию. Вводим команды
netsh interface reset all
netsh winsock reset
netsh firewall reset
netsh winhttp reset proxy
Эти команды перезаписывают ключи в реестре на значения по умолчанию (как после переустановки винды):
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SYSTEM\CurrentControlSet\Services\DHCP\Parameters
В случае если сетевые настройки машина получает по DHCP, пригодятся следующие команды. Если, например, DNS-сервер не отвечает или не удается найти DNS-адрес сервера, то можно выполнить только сброс DNS такой командой:
ipconfig /flushdns
Если не помогает, можно пойти на более радикальные меры, выполнив
ipconfig /release
// подождать несколько секунд или минут
ipconfig /renew
Эти команды полностью обновят конфиг сети, выданный твоей машине локальным DHCP-сервером.
Теперь нужно сказать о
netstat -an
Ключи команды netstat:
Если не хочешь работать в консоли, для графического вывода можно воспользоваться утилитами
Окно утилиты TCPView
Окно утилиты Nirsoft CurrPorts
Список сетевых служб и соотносящихся с ними резервированных портов для
И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру
Окно утилиты WinSock XP Fix
Нативная тулза с графическим интерфейсом
И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально
Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем — мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.
Live CD от вендоров антивирусного ПО
Универсальные Live CD сборки
Не используй права локального администратора. Включи UAC
Это банально, но мы будем повторять эти простые истины до тех пор, пока хотя бы 15% пользователей не воспримут их как руководство к действию.
Следи за обновлениями системы и своевременно накатывай security update
Вот они, наши старые и новые друзья: WannaCry,
Все они активно используют уязвимости как системного ПО, так и прикладных программ. Обнови прикладное ПО. Особенно браузер. Помни, что малварь использует уязвимости не только системы, но и
Кстати, если ты считаешь этот совет глупым, вот тебе информация к размышлению: где-то поблизости существуют люди (десятки тысяч людей), у которых на компе гнездится софт с уязвимостями десятилетней (!) давности.
Как показывает неумолимая статистика, дыры в ПО, найденные еще много лет назад, могут быть до сих пор
Прокачай свой браузер
Настрой правильно
Полезной опцией браузера может оказаться «Предупреждать о небезопасных сайтах», которая при переходе на подозрительный (ломанный или инфицированный) сайт обязательно тебе сообщит об этом. Точно так же браузер уведомит, если на сайте используется незащищенный протокол HTTP вместо безопасного
Неплохой гайд по настройкам безопасности для различных браузеров можно посмотреть
Долой скрипты
Для защиты браузера нам нужно минимизировать количество скриптов, которые могут выполняться, например отключить выполнение Java. Хорошим подспорьем станут блокировщики рекламы, баннеров и всплывающих окон, такие, например, как AdBlock, Adblock Plus.
Установи дополнения
Полезные расширения браузера помогут обезопасить машину от потенциального заражения. Перечислим расширения для трех самых популярных во всем мире браузеров: Chrome, Opera и, конечно же, Internet Explorer, поскольку многие еще до сих пор сидят на прежних версиях Windows, в которых IE идет по умолчанию.
Для Chrome
Используй VPN
Помимо очевидной анонимности, VPN полезна еще и тем, что в случае перехвата трафика не даст хакеру заполучить то, что он намеревался. Если говорить о бесплатных VPN-сервисах, то можно юзать
Вот интересные коммерческие VPN-сервисы:
Используй секьюрный DNS
Неплохо бы прописать в конфиге своего роутера или сетевой карты использовать DNS-серверы, фильтрующие опасный контент:
Победить проблему autorun.inf стоило еще несколько лет назад, поэтому навсегда отключи у себя
Все чужие флешки лучше проверять в чистой зоне виртуальной машины или монтировать запоминающий том в
Настрой файрвол
Грамотно настроенный брандмауэр поможет снизить площадь атаки: закроет неиспользуемые порты, разорвет нецелевые TCP/UDP-сессии и будет контролировать приложения, которые стучатся в сеть изнутри. Линуксоиды традиционно уважают
Забудь про вложения и непонятные ссылки
Тут и говорить нечего. Если очень интересно — открывай на виртуальной машине с «Линуксом» :). Проверить, находится ли сайт в черном списке и
За что бьют сисопа? За отсутствие бэкапа. Тебя это тоже касается
Коммерческие бэкап-решения сейчас у всех на слуху, они обладают впечатляющими возможностями, включая даже защиту информации от шифровальщиков и механизмы резервного копирования информации в твоих соцсетях. Бесплатные решения не столь удобны, но и они все еще живее всех живых.
Outro
Современная малварь использует все возможные способы и уязвимости, чтобы инфицировать систему жертвы. Поэтому и для борьбы с ней необходимо привлекать микс всех техник противодействия, приведенных в настоящем материале. С одним инструментом эффективность будет низкой — только вооружившись всем арсеналом, ты получаешь реальный шанс дать достойный отпор зловредам!
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.
План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).
Мы вовсе не настаиваем на сносе твоего любимого Internet security, но прочитать статью «
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
» и советы из этого материала очень рекомендуем.
Что делать в случае заражения?
Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:
- отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
- вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).
К тому же если зловред является частью
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или содержит компоненты
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, то он может бездействовать до того момента, как поступит управляющая команда с
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.Хардкорным читателям советуем прочесть наш цикл статей про
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Малварь в руках хакера, вооруженного статьями из этого цикла, пожалеет о том, что появилась из-под пера вирмейкера.
Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.
Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему.
Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.
Поиск процессов и обезвреживание малвари в памяти
Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM — из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
штатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, который будет скрывать его действия в системе.Итак, к нам на помощь придут утилиты — самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, — это
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, бесплатная утилитка из набора
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. По сути, она объединяет в себе сразу две другие утилиты — FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:
- show registry activity — просмотр активности реестра (чтение, запись ключей);
- show file system activity — просмотр действия с файлами (чтение, запись);
- show network process activity — аналогично по процессам, использующим сеть;
- show process and thread — просмотр процессов и нитей.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Рабочее окно утилиты Process Monitor
Вторая, более навороченная тулза — это
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Рабочее окно утилиты Process Explorer
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, одна из излюбленных антивирусными исследователями тулз, обеспечивает мониторинг всех процессов в системе, отображает детальную загрузку памяти и файла подкачки, работу процессора, драйверов, открытых соединений в сети и многое другое.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Просмотр списка процессов в System Explorer
В утилиту встроена база данных — можно проверить наличие вредоносного кода в конкретном файле и отправить на сервер отчет VirusTotal.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Проверка процесса на безопасность в System Explorer
Тулза позволяет закрыть любой процесс и группу связанных процессов, которые тормозят работу системы или программы, просмотреть историю действий для любой программы. Поддерживается работа с плагинами. Интерфейс разделен на вкладки, каждая из которых посвящена конкретным задачам. System Explorer позволяет управлять объектами автозапуска, просматривать и оперативно деинсталлировать установленные приложения, управлять службами Windows и многое другое.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Режим Explorer с более наглядной формой вкладок
Тулза четвертая — это
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, полноценный менеджер задач, который позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера. Тулза позволяет управлять автозагрузкой, запущенными процессами, сервисами и драйверами и заменяет диспетчер.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Список процессов в AnVir Task Manager
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Список инсталлированных в систему драйверов в AnVir Task Manager
В самом простом случае имя процесса совпадает с именем исходного exe-файла, который был запущен. Поэтому и самый простой способ найти малварь — это просмотреть весь список запущенных процессов и обратить внимание на те, которые вызывают подозрения. Но есть и более сложные ситуации, когда вирмейкеры используют системные имена, к примеру системных служб
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, или, хуже того, не создают новый процесс, а
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
код зловреда в легитимный! Если такой процесс завершит часть функций, ОС может стать недоступна или вовсе возникнет RPC-ошибка, приводящая к перезагрузке. Такую фичу использовал небезызвестный червь
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. На глаз тут вредоносный процесс, конечно же, не определишь, нужны инструменты посерьезнее.На выручку нам придет утилита
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, разработанная Олегом Зайцевым. Это не антивирус, но программа содержит в себе набор сигнатур наиболее известных червей, бэкдоров и руткитов.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Основное окно утилиты AVZ
Поэтому тулза может сканировать оперативную память и детектировать скомпрометированные процессы. Помимо этого, она имеет ряд крутых фич: собственный драйвер для обнаружения руткитов (kernel-mode), кейлоггеров и троянских DLL, прямой доступ к диску для работы с заблокированными файлами на томах NTFS, в том числе помещения их в карантин, анализатор открытых портов TCP/UDP с целью обнаружения RAT, анализатор Winsock SPI/LSP корректности сетевых настроек, анализатор мусорных настроек Internet Explorer, а также модуль проверки целостности системного реестра, BHO, расширений IE и проводника (Explorer) и анализатор всех доступных видов автозапуска.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Опции восстановления системы в AVZ
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Просмотр сетевых соединений в AVZ
Охота на невидимок
Реальную проблему в борьбе с малварью представляют поиск и обезвреживание руткитов, поскольку они используют особые системные фичи, например перехват и модификация
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, подмена
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и работа в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
с максимальными привилегиями, что помогает им обойти многие защитные механизмы.Ручной поиск тут почти безуспешен, и без специальных утилит нам не обойтись. По некоторым методам работы антируткиты близки к антивирусным движкам, так как могут испробовать сигнатурный и эвристический метод детектирования, но все же не являются антивирусным ПО в привычном понимании. Рассмотрим несколько наиболее известных и широко используемых в практике инструментов.
- RkUnhooker — одна из самых мощных тулз для обнаружения руткитов и борьбы с другими вредоносами. Позволяет обнаруживать и снимать перехваты таблицы SDT и программного кода, показывает скрытые драйверы, процессы и файлы. Помимо этого, RkUnhooker позволяет убивать файлы, залоченные выполняющимся процессом, в том числе с перезаписью пустыми данными (чтобы предотвратить их повторный запуск). А еще можно снимать дампы процессов из памяти и анализировать их.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно с результатами поиска руткитов в RkUnhooker
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— довольно известная утилита, которая, помимо основной своей функции, включает набор инструментов, таких как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, редактор автозапуска системы. Часто вместе с GMER используютВы должны зарегистрироваться, чтобы увидеть внешние ссылки. Эта тулза анализирует все запущенные драйверы и процессы в системе, ищет аномалии и другие особенности, присущие зловредным программам.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно с результатами поиска руткитов в GMER
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— тоже известная тулза для обнаружения и эффективного удаления новых поколений троянов, использующих технологию руткит. Как заявляют разработчики, она имеет уникальные методы детекта. Ищет нежелательные настройки поиска в браузере, проверяет автозапуск на наличие посторонних программ.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно с результатами поиска руткитов в UnHackMe
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— небольшая программа для обнаружения и удаления простейших типов вредоносного ПО. Сейчас распространяется по лицензии GPLv2 и принадлежит антивирусной компании Trend Micro.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно с результатами поиска руткитов в HijackThis
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— отечественный антируткит от «Лаборатории Касперского». Изначально создавался для лечения систем, зараженных вредоносами семейства Rootkit.Win32.TDSS. Сейчас утилита может найти и обезвредить такие известные руткиты, как TDSS, SST, Pihar, ZeroAccess, Sinowal, Whistler, Phanta, Trup, Stoned, Rloader, Cmoser, Cidox, и руткит-аномалии.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Главное окно программы TDSSKiller
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Обнаружение руткитов в TDSSKiller
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— эффективный инструмент для обнаружения и удаления шпионских программ из системы. Использует свой алгоритм сканера, который быстро находит скрытые процессы Rootkit, а подозрительные DLL — во всех запущенных процессах. Выводит процессы разными цветами в зависимости от уровня угрозы, что очень помогает идентифицировать вредоносные DLL.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Просмотр подозрительных процессов в SpyDllRemover
Чистим автозапуск
Одна из функций малвари — обеспечить себе повторный запуск после выключения или перезагрузки машины. Наиболее часто используемый метод — это прописать исполняемый файл зловреда в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Варианты здесь различны: это может быть и подмена пути в ярлыке, уже лежащем в автозапуске по пути %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, и назначение автоматически выполняемого задания в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, и создание ключей на автозапуск в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
:- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только один раз, когда пользователь входит в систему;
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при входе текущего пользователя в систему;
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только единожды при входе текущего пользователя в систему.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости — отключить их.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Главное окно утилиты Autoruns
Скажем пару слов об интерфейсе и вкладках:
- Everything — отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
- Logon — содержит все программы, которые будут запускаться автоматически;
- Explorer — автозапуск всех элементов проводника Windows;
- Internet Explorer — все надстройки и дополнения, которые установлены в Internet Explorer;
- Scheduled Tasks — процессы, которые запускаются автоматически из диспетчера задач;
- Services — файлы служб, автоматически запускаемые при загрузке машины;
- Drivers — все файлы, относящиеся к драйверам.
Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.Первое, что приходит на ум, — это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.
Штатные инструменты Windows для восстановления реестра
«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, — это функциональность морально устаревшей
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
», предлагающей создать целиком образ системы (всей системы — не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Интерфейс утилиты NTBackUp
Загрузившись в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
:
Код:
// Создаем резервные копии реестра системы
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak
// Удаляем битые файлы из системной директории ОС
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default
// Копируем работоспособные файлы реестра из теневой копии
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default
Продвинутые методы восстановления реестра
Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылкипредставляет собой бесплатную утилиту резервного копирования, которая использует службуВы должны зарегистрироваться, чтобы увидеть внешние ссылкидля резервного копирования системного реестра. Позволяет создавать резервную копию и восстанавливать из нее реестр.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— программа не бесплатна, но нам все же хотелось бы о ней рассказать. Основная ее функция — полное восстановление операционной системы Windows в случае ее крушения. Помимо этого, она позволяет делать резервные копии важных системных файлов и других пользовательских данных. Несмотря на устаревший интерфейс в стиле девяностых, софтина хорошо справляется со своими обязанностями.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Интерфейс утилиты WinRescue for Windows 7
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— возможности данной программы весьма обширны. Тулза позволяет восстанавливать реестр независимо от работы ОС. После запуска программы следует указать разделы реестра, которые нужны для сохранения в backup-файле, и подождать, пока утилита выполнит все необходимые действия. Для восстановления, к примеру, незагружающейся Windows 7 понадобится внешний аварийный загрузочный диск — тот же BartPE или Alkid Live CD. Но также можно использовать и среду восстановления. В этих случаях программа должна быть заранее установлена на жестком диске, а резервная реестра копия реестра уже создана. Бэкап реестра неплохо описан в этомВы должны зарегистрироваться, чтобы увидеть внешние ссылки.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
GUI-интерфейс утилиты ERUNT
Береженого MBR бережет
Теперь мы поговорим о MBR. Ты помнишь, что это вообще такое? Чересчур углубляться в теорию не станем. В двух словах, MBR (master boot record) — это набор кода и данных, необходимых для первоначальной загрузки операционной системы с жесткого диска. Поэтому MBR в русскоязычном варианте часто называют просто загрузочными секторами. MBR указывает переход в тот раздел жесткого диска, с которого следует исполнять дальнейший код, в нашем случае — загружать ОС.
Почему нам это важно? Да потому, что малварь еще с эпохи MS-DOS девяностых годов умела
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
не только исполняемые файлы, но и загрузочные сектора, обеспечивая таким образом себе запуск при старте системы. Для защиты от подобного вида атак в BIOS даже появилась специальная опция
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, позволяющая защитить загрузочный сектор жесткого диска от изменений на уровне микрокода
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Если алгоритм зловреда содержал ошибки, то MBR повреждался, и загрузка системы становилась невозможной. Но существовали и зловреды, которые специально могли потереть загрузочные сектора.Дело в том, что MBR находится в «невидимой области» жесткого диска и не всеми стандартными средствами резервирования можно сделать его бэкап.
Фиксим MBR в консоли
В эпоху Windows XP для восстановления системы без переустановки часто использовалась
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Ее можно было проинсталлировать на хард и выбирать как вариант запуска при загрузке машины или запускать с установочного диска данной ОС. Консоль выручала, когда при загрузке появлялось сообщение
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или были побиты системные файлы bootfont.bin, ntbootdd.sys, ntdetect.com и boot.ini. Независимо от причины в консоли подряд прописывались командыFixmbr
Fixboot
Команда fixmbr позволяла найти и автоматически исправить ошибки в MBR. Команда fixboot помечала раздел как bootable, прописывала загрузчик ntloader в boot-сектор, копировала на раздел необходимые системные файлы и генерировала файл
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. При следующем старте система, как правило, возвращалась в работоспособное состояние.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вызов справки по командам восстановления MBR в консоли восстановления Windows
Продвинутые средства для восстановления MBR
Универсальным вариантом защиты MBR станет создание его резервной копии и при необходимости восстановление ее на боевую систему. Поскольку, как мы уже говорили, загрузочные сектора недоступны для редактирования из-под работающей ОС, необходимо воспользоваться специальными инструментами.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
— бесплатная утилита, предназначенная для того, чтобы создавать образы хардов, их разделов и, конечно же, MBR. Нас в данном случае будет интересовать именно MBR.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно мастера резервного копирования в Comodo Backup
Итак, запускаем тулзу в режиме Live CD, выбираем опцию бэкапа mbr, далее место сохранения, и наша резервная копия готова! Если на инфицированной машине будет поврежден загрузчик, мы можем просто его восстановить, операция занимает всего несколько минут.
Если ты юзаешь Linux в качестве ОС, то можешь воспользоваться
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, имеется неплохой
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
на примере Ubuntu.Путь от MBR до UEFI и GPT
В 2010 году на смену много лет существовавшей классической BIOS пришла новая технология, получившая название
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, а вместе с ней и изменения процесса загрузки, подталкивающие нас отказываться от MBR и использовать GPT. UEFI — это, по сути, обертка или интерфейс между ОC и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, вшитым в чипы материнской платы. Поэтому UEFI при инициализации загрузки использует не классический MBR, а GPT. В теорию вопроса мы опять же не полезем, для тех, кто хочет побольше узнать, есть материал «
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
».Поскольку структура GPT отличается от структуры классического MBR, сохранить его описанным выше способом не удастся. Выходом станет создание цельного образа системы, например штатной утилитой «
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
», бесплатным набором из
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или коммерческой программой
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Но более подробно о том, как сделать бэкапы системы, мы поговорим чуть ниже.Спасение системных файлов
Нередко малварь из-за содержащихся в ней ошибок или сопротивляясь лечению повреждает некоторые системные файлы, что приводит ОС в неработоспособное состояние. Переустановка ОС в данном случае не наш выбор, так как это займет гораздо больше времени и, что немаловажно, затрет настройки ПО и прочую ценную информацию. Поэтому восстанавливать систему нужно точечными действиями, то есть именно в тех местах, где она была повреждена.
Проверка и восстановление системных файлов Windows
Штатная утилита
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
существует во всех версиях Windows, начиная еще с Windows 2000, и предназначена она для проверки состояния и восстановления системных файлов. Механизмы защиты важных системных файлов (обычно исполняемых *.exe, файлов библиотек *.dll и *.sys-файлов драйверов) проверяют целостность указанных файлов и, если те повреждены или отсутствуют, восстанавливают их до состояния по умолчанию.На практике проверить целостность системных файлов Windows можно с помощью команды консоли
sfc /scannow
Но у sfc /scannow может не получиться исправить ошибки в системных файлах. В этом случае, как вариант, ты можешь ввести в командной строке
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"
Эта команда создаст текстовый файл sfc.txt на твоем рабочем столе со списком файлов, исправить которые не удалось. Ты можешь его просмотреть и при необходимости вручную скопировать нужные файлы с другого компьютера с той же версией Windows или с оригинального дистрибутива ОС.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно консоли Windows с результатами выполнения команды sfc
Наиболее критичные системные файлы:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— файл ядра операционных систем семейства Windows NT;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки, или слой аппаратных абстракций, реализованный в системном ПО, находится между физическим уровнем аппаратного обеспечения и программным обеспечением, запускаемым на этом компьютере;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— динамически подключаемая библиотека, ядро всех версий ОС Microsoft Windows. Содержит базовые APIWin32, такие как управление памятью, операции ввода-вывода, создание процессов и потоков и функции синхронизации;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки, а чуть позднее IA64ldr и Winload — загрузчик операционных систем Windows NT;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— компонент операционных систем Microsoft семейства Windows NT, который используется в процессе запуска Windows NT до версии 6.0.
Малварь может инсталлировать в систему свои драйверы, к примеру для перехвата данных, введенных с клавиатуры, или для скрытия следов своего присутствия в инфицированной системе. Таким образом, она может удалить оригинальный драйвер или некорректно попытается его пропатчить. Поэтому сейчас речь пойдет о том, как по-быстрому восстановить оригинальное состояние работающих в системе драйверов. Лучшим вариантом будет создать эталонный набор драйверов, инсталлированных в работающей системе, и при необходимости не ковырять каждый по отдельности, а восстановить их все разом. Для этого воспользуемся несколькими тулзами.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— это одна из лучших программ для работы с драйверами. Софтинка позволяет искать и обновлять любые драйверы, восстанавливать их из резервных копий.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты SlimDrivers
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— довольно маленькая бесплатная утилита для создания резервных копий драйверов. Все, что нам нужно сделать, — это архив с драйверами с оригинальной системы, сохранить архив в надежном месте и, открыв в той же программе, восстановить их обратно в систему. Все!
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты Double Driver
Фиксим проводник и другие ошибки системы
Даже после восстановления работоспособности системы и удаления малвари из ОС могут остаться неприятные следы — последствия инфицирования. К примеру, может пропасть ассоциация файлов с нужной программой, будет заблокирован штатный диспетчер задач Windows, недоступен редактор реестра (regedit), невозможно будет открыть панель управления. Что же с этим делать? Практически все изменения обратимы. Конечно, можно самостоятельно вручную копаться в реестре, искать нужные ключи конфигурирования и восстанавливать их, прописывая значения по умолчанию, но мы обратимся за помощью к специальным тулзам, заточенным под это дело. Итак, встречай!
- Fix for Windows — сборник универсальных фиксов и патчей для операционных систем Microsoft Windows. Утилита под одним капотом объединяет несколько блоков проблем, которые могут возникнуть, например фиксы разложены по категориям Boot, Speed, Desktop, LAN, Other и так далее. Переходя от одной категории к другой, можно ставить чеки напротив тех параметров, которые ты хочешь привести в порядок, например исправление проблемы с кодировкой и шрифтами, восстановление языковой панели, включение/отключение UAC, включение отображения скрытых файлов.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— бесплатная нативная утилита для устранения неполадок Windows, препятствующих нормальной работе операционной системы. Данный инструмент поможет выявить и решить самые распространенные проблемы с программным обеспечением Microsoft и сторонних разработчиков, влияющие на штатную работу системы.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты Microsoft Easy Fix
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— бесплатная программа, которая позволяет автоматически исправить многие надоедливые ошибки, а также решить другие проблемы с Windows, типичные не только для «десятки». Тулза позволяет решать следующие проблемы с помощью подпрограмм с говорящими названиями:
- File Explorer — борется с ошибками проводника (не запускается рабочий стол при входе в Windows, ошибки WerMgr и WerFault, не работает CD- и DVD-привод и другие);
- Internet and Connectivity — сетевые проблемы (сброс DNS и протокола TCP/IP, сброс файрвола, сброс Winsock и подобное);
- System Tools — ошибки при запуске системных инструментов Windows, например диспетчер задач, командная строка или редактор реестра были отключены администратором системы, отключены точки восстановления, настройки безопасности сброшены на настройки по умолчанию.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты FixWin 10
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— бесплатный и легко переносимый инструмент для устранения различных неисправностей системы. Тулза позволяет восстанавливать параметры Windows к их значениям по умолчанию, что во многих случаях помогает исправить большинство неполадок, к примеру такие ошибки, как неверные права доступа к файлам, проблемы с Windows Update, штатным файрволом, и многое другое.
Запускаем сеть по-новому
Исходя из заложенных в нее алгоритмов, малварь может манипулировать сетевыми настройками системы, изменяя маршрутизацию трафика, подделывать разрешение DNS-имен и тому подобное. Соответственно, в этих условиях нескорые хосты, веб-сайты и облачные сервисы могут стать недоступны или работать некорректно. Также код малвари может содержать ошибки, некорректно отрабатывать, что в конечном счете способно полностью положить нашу сеть.
Восстанавливаем hosts
Больше всего на свете малварь любит манипулировать с файлом
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, который находится в системной директории по пути %SystemRoot%\system32\drivers\etc\hosts. По сути, это обычный текстовый файл, содержащий локальную базу данных доменных имен и используемый при их трансляции в сетевые адреса. При разрешении имени удаленного хоста или веб-сайта запрос к этому файлу имеет приоритет перед обращением к DNS-серверам, прописанным в настройках сетевой карты. Малварь редактирует этот файл таким образом, чтобы все сайты разработчиков антивирусного ПО оказались недоступными вместе с репозиториями, содержащими обновленные антивирусные сигнатуры.Другой кейс — это использование данного файла с целью фишинга, то есть перенаправления с IP-адресов легальных ресурсов, таких как социальные сети, онлайн-банк, на их поддельные аналоги. Но и решение данной проблемы тоже довольно простое. Достаточно будет заменить измененный hosts на оригинальный файл, к примеру взятый из резервной копии, или даже вовсе заменить его пустым файлом, не содержащим записей, но имеющим указанное имя и располагающимся по указанному пути. Кстати, нелишне было бы проверить, где hosts должен лежать в данном экземпляре системы, поскольку любое значение по умолчанию можно изменить. Точный путь расположения файла можно узнать в ключе реестра по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath.
Восстанавливаем работу сетевых служб
Второе, на что стоит обратить внимание при восстановлении работоспособности сети, — это состояние запущенных сетевых служб Windows. Есть случаи, когда зловред намеренно останавливает сетевую службу или ставит ее на паузу для собственных манипуляций, а после не успевает перезапустить или делает это с ошибкой. В результате у нас блокируется обмен сетевым трафиком. Вариантов тут несколько.
Можно зайти через «Панель управления → Администрирование → Службы» или по-быстрому запустить ту же самую консоль через Win + R, написав services.msc. Мы видим список всех служб Windows, нас в данном случае интересуют только несколько
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
:- DHCP-клиент;
- DNS-клиент;
- веб-клиент;
- автонастройка WWAN;
- агент политики IPsec (если у тебя прокинуты VPN-сессии);
- брандмауэр Windows (если используется штатный файрвол);
- локатор удаленного вызова процедур (RPC);
- маршрутизация и удаленный доступ (ты знаешь об этом, если тебе это реально нужно).
Ну и настоящий профессиональный вариант — это работа в консоли. Открываем CMD, пишем в нем net start или net start | more и видим, какие службы сейчас запущены.
Чтобы запустить службу, тут же из консоли достаточно набрать net start <имя службы>. Помнить названия всех служб необязательно, достаточно будет посмотреть подробное инфо с помощью команды sc query type= service state= all или глянуть
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Из консоли любую службу можно запустить по команде net start <имя службы>, например стартануть DNS можно так:
net start DNS
Итак, службы мы наладили, но сеть по-прежнему недоступна или работает с перебоями? Идем дальше!
Правим маршрутизацию и проверяем порты
Малварь может прописывать динамические маршруты в локальную таблицу маршрутизации Windows и менять таким образом обмен сетевым трафиком с другими хостами. Например, если наша машина получает все сетевые настройки по DHCP-протоколу, в случае его некорректной работы мы останемся без интернета. Придется снова лезть в консоль!
Чтобы удалить новые маршруты и вернуть таблицу маршрутизации к исходному виду, набираем соответственно
route print
route delete *
Иногда этого может оказаться мало и приходится сбрасывать настройки к значениям по умолчанию. Вводим команды
netsh interface reset all
netsh winsock reset
netsh firewall reset
netsh winhttp reset proxy
Эти команды перезаписывают ключи в реестре на значения по умолчанию (как после переустановки винды):
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SYSTEM\CurrentControlSet\Services\DHCP\Parameters
В случае если сетевые настройки машина получает по DHCP, пригодятся следующие команды. Если, например, DNS-сервер не отвечает или не удается найти DNS-адрес сервера, то можно выполнить только сброс DNS такой командой:
ipconfig /flushdns
Если не помогает, можно пойти на более радикальные меры, выполнив
ipconfig /release
// подождать несколько секунд или минут
ipconfig /renew
Эти команды полностью обновят конфиг сети, выданный твоей машине локальным DHCP-сервером.
Теперь нужно сказать о
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, то есть тех интерфейсах, через которые, по сути, и идет обмен пакетами. Может статься, что малварь залочила какой-то важный системный порт или прослушивает один из свободных на предмет команд, приходящих из внешней сети. Список наиболее важных системных портов довольно короткий, его можно просто запомнить:- SSH 21;
- DNS и DHCP 53,67, 68;
- email 25;
- web 80, 81;
- RPC 135, 443, 445.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. В большинстве операционных систем состояние сетевых служб можно посмотреть при помощи командыnetstat -an
Ключи команды netstat:
- -a — отображать все соединения и используемые порты;
- -o — отображать числовой идентификатор процесса, отвечающего за конкретное соединение (Process ID, или попросту PID);
- -n — указывает утилите netstat отображать реальные IP-адреса и цифровые значения портов вместо их DNS-имен.
- Established — соединение установлено (то есть кто-то к тебе подключился или ты к кому-то подключился);
- Listening — компьютер ожидает подключения по этому порту, то есть какая-то программа (процесс в памяти) слушает обращение на этот порт;
- Time_wait — программа, которая прослушивает порт, ожидает прихода пакета, чтобы перевести порт в одно из состояний, либо на порт долго не было обращений и по тайм-ауту программа готовится его закрыть.
Если не хочешь работать в консоли, для графического вывода можно воспользоваться утилитами
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты TCPView
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты Nirsoft CurrPorts
Список сетевых служб и соотносящихся с ними резервированных портов для
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services — это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:- проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
- создает бэкап текущих системных установок (по желанию пользователя);
- отключает все сетевые адаптеры и переустанавливает их параметры.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Окно утилиты WinSock XP Fix
Нативная тулза с графическим интерфейсом
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
— еще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:- очистить и исправить файл hosts;
- включить Ethernet и беспроводные адаптеры сети;
- сбросить Winsock и протокол TCP/IP;
- очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
- перезагрузить NetBIOS.
И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем — мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.
Live CD от вендоров антивирусного ПО
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— как ты уже понял, это аварийный Live Disk на базе Gentoo Linux от российского вендора «Лаборатория Касперского». Среда восстановления содержит браузер, файловый менеджер, редактор системного реестра Windows. Помимо этого, есть возможность обновления антивирусных баз антивируса Kaspersky.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— Live CD от компании Dr.Web, построенный на базе Gentoo Linux. В числе инструментария Dr.Web Live CD — средство диагностики оперативной памяти, утилита для правки системного реестра, обновление антивирусных баз, доступ к интернету через браузер Mozilla Firefox, два файловых менеджера и антивирусное средство (утилита Dr.Web CureIt!).
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— Live CD от немецкого производителя. Дас ист гут! Позволяет получить доступ к данным в файловом менеджере, содержит редактор реестра Avira Registry Editor и пускает тебя в интернет через Mozilla Firefox. С помощью встроенной TeamViewer позволяет устанавливать удаленное подключение, а посредством GParted — перераспределять дисковое пространство.
Универсальные Live CD сборки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— это диск, в котором собрано множество различных программ, в том числе и работающих в режиме DOS. Комплект поставки Hiren’s BootCD предусматривает не только непосредственно ISO-образ загрузочного диска, но и утилиту для его записи на оптический диск, а также утилиту HBCDCustomizer для создания образов загрузочных дисков с пользовательским содержимым.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— известная универсальная среда восстановления, созданная на базе дистрибутива Gentoo Linux. Содержит инструменты для работы с жестким диском — разбивки на разделы, диагностики, сохранения и восстановления разделов. Умеет монтировать разделы Windows NTFS для чтения и записи. Содержит также средства для настройки сети, сетевых сервисов, средства поиска руткитов и антивирус.
- Alkid Live CD and USB — навороченный и потому универсальный загрузочный диск для восстановления системы, построенный на базе Windows XP. Работает с любых носителей — CD, флешек, USB-HDD и других. Содержит набор свежих антивирусов, утилит для работы с дисками и образами, бэкапа и поднятия системы, восстановления потерянной информации и паролей, создания новых администраторских учетных записей, возврата на точки отката и многого другого.
Не используй права локального администратора. Включи UAC
Это банально, но мы будем повторять эти простые истины до тех пор, пока хотя бы 15% пользователей не воспримут их как руководство к действию.
Следи за обновлениями системы и своевременно накатывай security update
Вот они, наши старые и новые друзья: WannaCry,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и (новый)
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Все они активно используют уязвимости как системного ПО, так и прикладных программ. Обнови прикладное ПО. Особенно браузер. Помни, что малварь использует уязвимости не только системы, но и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или их
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Кстати, если ты считаешь этот совет глупым, вот тебе информация к размышлению: где-то поблизости существуют люди (десятки тысяч людей), у которых на компе гнездится софт с уязвимостями десятилетней (!) давности.
Как показывает неумолимая статистика, дыры в ПО, найденные еще много лет назад, могут быть до сих пор
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, в Windows 10 можно эксплуатировать баг,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
аж в 1997 году. Не лучше дела обстоят и с
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Прокачай свой браузер
Настрой правильно
Полезной опцией браузера может оказаться «Предупреждать о небезопасных сайтах», которая при переходе на подозрительный (ломанный или инфицированный) сайт обязательно тебе сообщит об этом. Точно так же браузер уведомит, если на сайте используется незащищенный протокол HTTP вместо безопасного
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Браузер может и сравнить пароли при создании их в веб-формах и напомнить, как нехорошо юзать один и тот же пасс для всех подряд сервисов.Неплохой гайд по настройкам безопасности для различных браузеров можно посмотреть
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. А вот
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
приведены примеры усиленных настроек безопасности для последней на сегодня 11-й версии Internet Explorer.Долой скрипты
Для защиты браузера нам нужно минимизировать количество скриптов, которые могут выполняться, например отключить выполнение Java. Хорошим подспорьем станут блокировщики рекламы, баннеров и всплывающих окон, такие, например, как AdBlock, Adblock Plus.
Установи дополнения
Полезные расширения браузера помогут обезопасить машину от потенциального заражения. Перечислим расширения для трех самых популярных во всем мире браузеров: Chrome, Opera и, конечно же, Internet Explorer, поскольку многие еще до сих пор сидят на прежних версиях Windows, в которых IE идет по умолчанию.
Для Chrome
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— популярный фильтр навязчивой и не очень баннерной рекламы. Часто на зараженных сайтах вредоносный код может содержаться в неприметных баннерах и ссылках, замаскированных под всплывающие окна. AdBlock от всего этого избавит.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— некоторые сайты используют Flash для «творческого» сбора кукисов и отслеживания твоих действий. Установка Flash Block даст тебе ручной контроль над страницами — позволять загружать Flash-контент или нет, решаешь ты.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— крайне полезное дополнение, созданное для контроля над сайтами, использующими JavaScript-код.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— часто сталкивался с тем, что нужно оставить свой почтовый ящик при регистрации для доступа к сайту или форуму или просто чтобы прочитать статью? BugMeNot предоставляет безопасную и анонимную альтернативу.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— дополнение, форсирующее использование Secure Socket Layer (SSL).
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— целый набор инструментов для безопасного серфинга. Умеет также предупреждать о сайтах группы риска, которые обманывают клиентов, рассылая вирусы или спам.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— расширение, которое переопределяет запросы к сайтам и принудительно активирует HTTPS. Решение зашифровывает соединения с сайтами, делая серфинг в интернете безопаснее.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— веб-фильтр Avira для браузера, включающий безопасный поиск, безопасный просмотр сайтов, защиту от слежения и блокировщик рекламы на базе Adguard.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— бесплатный плагин от Intel Security, обеспечивающий защиту от вредоносных, фишинговых и мошеннических сайтов и вредоносных загрузок.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— интерактивный блокировщик любых типов запросов браузера. Позволяет запретить загрузку скриптов, фреймов, плагинов, рекламы и прочего.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— расширение, которое обеспечивает защиту от фишинга, онлайн-мошенничества, межсайтового скриптинга во время серфинга в интернете и предоставляет комплексную информацию о посещаемых веб-сайтах.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— парольный менеджер. LastPass предлагает такую же функциональность, как его аналоги в виде отдельно устанавливаемого на комп приложения, включая генерацию и безопасное хранение паролей.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылкипредупреждает, если сайт потенциально опасен для посещения.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— инструмент для резервного копирования и восстановления профиля настройки Internet Explorer.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
браузером мы никому не советуем, но он до последнего времени фигурировал как обязательный в некоторых системах ДБО.Используй VPN
Помимо очевидной анонимности, VPN полезна еще и тем, что в случае перехвата трафика не даст хакеру заполучить то, что он намеревался. Если говорить о бесплатных VPN-сервисах, то можно юзать
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
в качестве клиента, а настройки для подключений брать на сайте
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Но, если честно, у нас у всех VPN купленный, а к халявному VPN мы бы стремиться не советовали. Вот интересные коммерческие VPN-сервисы:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— один из крутейших VPN-сервисов в России, судя по количеству наград, которые он получил. Фишка PIA в том, что он обеспечивает не только шифрование трафика, но и анонимизацию с отвязкой от регионального расположения. На выбор пользователя доступно порядка тысячи серверов, расположенных в десяти разных странах. Притом PIA не хранит логи, не запрещает никакие протоколы и IP-адреса и не хранит у себя информацию о действиях пользователей. Стоимость услуг начинается с семи долларов в месяц. Возможно подключение до пяти различных устройств.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— давно хорошо зарекомендовавший себя VPN-сервис, который, как и остальные участники рейтинга, заявляет об отсутствии логов и ограничений на типы протоколов и проходящий трафик. На твой выбор сотни серверов из 23 стран мира. Стоимость услуги начинается с семи долларов в месяц; если требуется подключить больше одного устройства, нужно будет доплатить.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— прославленный VPN-сервис, включающий множество функций и возможностей: шифрование трафика с помощью AES-128, встроенное ускорение серфинга по сайтам, высокоскоростные серверы, расположенные по всему миру. Стоимость от пяти долларов в месяц, пробный период — семь дней.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и выбрать сам.Используй секьюрный DNS
Неплохо бы прописать в конфиге своего роутера или сетевой карты использовать DNS-серверы, фильтрующие опасный контент:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылкисВы должны зарегистрироваться, чтобы увидеть внешние ссылки
77.88.8.88
77.88.8.2
- Cisco OpenDNS
208.67.222.222
208.67.220.220
- Norton ConnectSafe, поддерживаемый компанией Symantec
199.85.126.10
199.85.127.10
Победить проблему autorun.inf стоило еще несколько лет назад, поэтому навсегда отключи у себя
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Все чужие флешки лучше проверять в чистой зоне виртуальной машины или монтировать запоминающий том в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, которой они не страшны. Чужие флешки — реальное зло, заражены они, как мне кажется, в 80% случаев. Настрой файрвол
Грамотно настроенный брандмауэр поможет снизить площадь атаки: закроет неиспользуемые порты, разорвет нецелевые TCP/UDP-сессии и будет контролировать приложения, которые стучатся в сеть изнутри. Линуксоиды традиционно уважают
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, настраивать которую можно как в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, так и используя привычный многим
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. В Windows есть встроенный брандмауэр, можно настраивать его через
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
или использовать более гибкую GUI-надстройку
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Забудь про вложения и непонятные ссылки
Тут и говорить нечего. Если очень интересно — открывай на виртуальной машине с «Линуксом» :). Проверить, находится ли сайт в черном списке и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и подозрительные скрипты, можно, например, используя бесплатные онлайн-сканеры
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
,
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и всем известный и хорошо зарекомендовавший себя
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.За что бьют сисопа? За отсутствие бэкапа. Тебя это тоже касается
Коммерческие бэкап-решения сейчас у всех на слуху, они обладают впечатляющими возможностями, включая даже защиту информации от шифровальщиков и механизмы резервного копирования информации в твоих соцсетях. Бесплатные решения не столь удобны, но и они все еще живее всех живых.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— это полностью бесплатное программное обеспечение с открытым исходным кодом. Данная софтинка реализована по принципу пошагового мастера и работает почти в текстовом режиме, без графического интерфейса. Программа отлично подходит для клонирования дисков и отдельных разделов жесткого диска, а также создания резервных копий и аварийного восстановления системы.
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки— набор утилит от известного разработчика Paragon Software, позволяющих создавать, форматировать, удалять разделы, прятать или открывать их, назначать букву и менять метку тома, выполнять проверку целостности файловой системы. Отдельно стоит отметить, что резервирование данных может быть выполнено в так называемый капсюль, то есть в скрытый раздел, который невозможно смонтировать и увидеть в операционной системе.
Outro
Современная малварь использует все возможные способы и уязвимости, чтобы инфицировать систему жертвы. Поэтому и для борьбы с ней необходимо привлекать микс всех техник противодействия, приведенных в настоящем материале. С одним инструментом эффективность будет низкой — только вооружившись всем арсеналом, ты получаешь реальный шанс дать достойный отпор зловредам!